KR100908404B1 - 분산서비스거부공격의 방어방법 및 방어시스템 - Google Patents

분산서비스거부공격의 방어방법 및 방어시스템 Download PDF

Info

Publication number
KR100908404B1
KR100908404B1 KR1020080087234A KR20080087234A KR100908404B1 KR 100908404 B1 KR100908404 B1 KR 100908404B1 KR 1020080087234 A KR1020080087234 A KR 1020080087234A KR 20080087234 A KR20080087234 A KR 20080087234A KR 100908404 B1 KR100908404 B1 KR 100908404B1
Authority
KR
South Korea
Prior art keywords
attack
server
distributed denial
terminals
service
Prior art date
Application number
KR1020080087234A
Other languages
English (en)
Inventor
김장중
Original Assignee
(주)이스트소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이스트소프트 filed Critical (주)이스트소프트
Priority to KR1020080087234A priority Critical patent/KR100908404B1/ko
Application granted granted Critical
Publication of KR100908404B1 publication Critical patent/KR100908404B1/ko
Priority to ES09011173.3T priority patent/ES2524716T3/es
Priority to EP09011173.3A priority patent/EP2161898B1/en
Priority to PT90111733T priority patent/PT2161898E/pt
Priority to US12/551,784 priority patent/US8359648B2/en
Priority to JP2009201206A priority patent/JP2010061660A/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

효율적으로 분산서비스거부공격을 방어할 수 있는 분산서비스거부공격의 방어방법 및 시스템이 제공된다. 상기 분산서비스거부공격의 방어방법은 공격 목적 서버가 다수의 단말기로부터 분산서비스거부공격을 받고 있는지를 판단하고, 그 판단 결과에 따라 관제 서버에 분산서비스거부공격을 받고 있음을 알리는 단계, 관제 서버가 다수의 단말기에 공격 방지 메시지를 전송하는 단계, 다수의 단말기 각각이 분산서비스거부공격을 수행하는지를 판단하고, 그 판단 결과에 따라 분산서비스거부공격을 차단하는 단계를 포함한다.
분산서비스거부공격

Description

분산서비스거부공격의 방어방법 및 방어시스템{System and Method for Protecting from Distributed Denial of Service}
본 발명은 분산서비스거부공격의 방어방법 및 방어시스템에 관한 것이다.
분산서비스거부공격은 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 것을 의미한다.
구체적으로 설명하면, 분산서비스거부공격은 네트워크로 연결되어 있는 많은 수의 호스트들의 패킷을 범람시킬 수 있는 DOS(denial of service) 공격용 프로그램을 분산 설치하여, 이들이 서로 통합된 형태로 공격 대상 시스템에 대해 성능 저하 및 시스템 마비를 일으키는 기법이다. DOS 공격은 공격할 시스템의 하드웨어나 소프트웨어 등을 무력하게 만들어, 시스템이 정상적인 수행을 하는 데 문제를 일으키는 모든 행위를 의미한다. 매우 다양한 공격이 가능하고, 즉시 주목할 만한 결과를 얻을 수 있으며, 공격 방법으로는 예를 들어, smurf, trinoo, SYN Flooding 등이 있다.
특정 사이트를 공격하기 위해 해커가 서비스 공격을 위한 도구들을 여러 컴퓨터에 심어놓고 목표사이트의 컴퓨터 시스템이 처리할 수 없는 엄청난 분량의 킷 을 동시에 범람시키면 네트워크의 성능 저하나 시스템 마비를 가져온다.
분산 시스템들의 증가와 인터넷의 확산으로 인하여 네트워크를 통한 공격의 가능성은 점점 늘어나고 있다. 종래에는 잠재적인 공격의 위협으로부터 시스템을 보호하기 위해서 백본(Backbone) 차원의 네트워크 제어를 통하여 분산서비스거부공격을 방어하여 왔다.
그러나, 종래의 보안 장치들은 공격 에이전트 단말기 내부에서 공격 여부의 탐지가 불가능하고, 그와 같은 공격을 탐지하더라도 해당 근원지를 적절하고 효율적으로 대응하기 어렵다.
본 발명이 해결하고자 하는 과제는, 효율적으로 분산서비스거부공격을 방어할 수 있는 분산서비스거부공격의 방어방법을 제공하는 것이다.
본 발명이 해결하고자 하는 다른 과제는, 효율적으로 분산서비스거부공격을 방어할 수 있는 분산서비스거부공격의 방어시스템을 제공하는 것이다.
본 발명이 해결하고자 하는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 달성하기 위하여 본 발명의 분산서비스거부공격 방어방법의 일 태양(aspect)은, 공격 목적 서버가 다수의 단말기로부터 분산서비스거부공격을 받 고 있는지를 판단하고, 그 판단 결과에 따라 관제 서버에 분산서비스거부공격을 받고 있음을 알리는 단계, 관제 서버가 다수의 단말기에 공격 방지 메시지를 전송하는 단계, 공격 방지 메시지를 전송 받은 다수의 단말기 각각은 분산서비스거부공격을 수행하는지를 판단하고, 그 판단 결과에 따라 분산서비스거부공격을 차단하는 단계를 포함한다.
상기 과제를 달성하기 위하여 본 발명의 분산서비스거부공격 방어방법의 다른 태양은, 공격 목적 서버가 다수의 단말기로부터 분산서비스거부공격을 받고 있음을 관제 서버에 알리는 단계, 관제 서버가 다수의 단말기에 공격 방지 메시지를 전송하는 단계, 및 공격 방지 메시지를 전송받은 다수의 단말기 각각은 분산서비스거부공격을 차단하는 단계를 포함한다.
여기서, 공격 목적 서버가 다수의 단말기로부터 분산서비스거부공격을 받고 있는지를 판단하는 단계는 공격 목적 서버가 처리가능한 데이터량을 설정하는 단계와, 공격 목적 서버가 처리 요구되는 데이터량이 기설정된 데이터량을 초과하고 있는지를 판단하는 단계와, 기설정된 데이터량을 초과하는 경우 분산서비스거부공격으로 간주하는 단계를 포함할 수 있다.
또한, 공격 목적 서버가 관제 서버에 분산서비스거부공격을 받고 있음을 알리는 단계는, 공격 목적 서버가 자신의 정보를 관제 서버에 전송함으로써 분산서비스거부공격을 받고 있음을 알리는 단계를 포함하고, 관제 서버가 다수의 단말기에 공격 방지 메시지를 전송하는 단계는, 관제 서버가 공격 목적 서버의 정보를 수신한 관제 서버가 공격 목적 서버로 데이터를 전송하는 다수의 단말기를 확인하여, 확인된 다수의 단말기에 공격 방지 메시지를 전송하는 단계를 포함할 수 있다.
또한, 공격 목적 서버의 정보는 TCP/IP 또는 UDP/IP를 포함할 수 있다.
또한, 공격 목적 서버의 정보를 관제 서버에 등록하는 단계를 더 포함할 수 있다. 이러한 경우, 공격 목적 서버가 관제 서버에 분산서비스거부공격을 받고 있음을 알리는 단계는, 공격 목적 서버는 분산서비스거부공격을 받고 있다고 판단되면, 공격 목적 서버가 사전 약속된 명령어를 관제 서버에 전송함으로써 분산서비스거부공격을 받고 있음을 알리고, 관제 서버가 다수의 단말기에 공격 방지 메시지를 전송하는 단계는 사전 약속된 명령어를 수신한 관제 서버가 공격 목적 서버로 데이터를 전송하는 다수의 단말기를 확인하여, 확인된 다수의 단말기에 공격 방지 메시지를 전송하는 단계를 포함할 수 있다.
또한, 다수의 단말기 각각이 분산서비스거부공격을 수행하는지를 판단하는 방법은, 관제 서버로부터 공격 방지 메시지를 받으면, 다수의 단말기가 공격 목적 서버에 데이터를 전송하는지를 확인하는 단계와, 다수의 단말기가 공격 목적 서버로 데이터를 전송하고 있지 않은 경우, 분산서비스거부공격으로 판단하는 단계를 포함할 수 있다.
상기 다른 과제를 달성하기 위하여 본 발명의 분산서비스거부공격의 방어시스템의 일 태양은 다수의 단말기와, 공격 목적 서버와, 다수의 단말기와, 공격 목적 서버와 연결된 관제 서버를 포함하되, 공격 목적 서버는 다수의 단말기로부터 분산서비스거부공격을 받고 있는지를 판단하고, 그 판단 결과에 따라 관제 서버에 분산서비스거부공격을 받고 있음을 알리고, 관제 서버가 공격 목적 서버가 분산서 비스거부공격을 받고 있음을 알게 되면, 관제 서버는 다수의 단말기에 공격 방지 메시지를 전송하고, 공격 방지 메시지를 전송받은 다수의 단말기 각각이 분산서비스거부공격을 수행하는지를 판단하고, 그 판단 결과에 따라 분산서비스거부공격을 차단한다.
상기 다른 과제를 달성하기 위하여 본 발명의 분산서비스거부공격의 방어시스템의 다른 태양은 다수의 단말기와, 공격 목적 서버와, 다수의 단말기 및 공격 목적 서버와 연결된 관제 서버를 포함하되, 단말기는 관제 서버에 접속하여 단말기 정보를 일정 기간 간격으로 관제 서버에 전송하는 연결모듈과, 관제 서버와 접속한 정보를 관리하고 분산서비스거부공격 방지 신청 여부를 확인하는 감시모듈과, 관제 서버로부터 공격 방지 메시지를 받으면 공격 목적 서버에 분산서비스거부공격을 수행하는지를 판단하여 분산서비스거부공격을 차단하는 차단모듈을 포함한다.
상기 다른 과제를 달성하기 위하여 본 발명의 분산서비스거부공격의 방어시스템의 또 다른 태양은 다수의 단말기와, 공격 목적 서버와, 다수의 단말기 및 공격 목적 서버와 연결된 관제 서버를 포함하되, 관제 서버는 다수의 단말기의 정보를 유지하는 정보 유지 모듈과, 공격 목적 서버의 분산서비스거부공격 방어신청을 수신하는 수신 모듈과, 공격 목적 서버에 데이터를 전송 중인 다수의 단말기에 분산서비스거부공격 방지를 요청하는 방어 요청 모듈을 포함한다.
여기서, 차단 모듈이 공격 목적 서버에 분산서비스거부공격을 수행하는지를 판단하는 것은, 관제 서버로부터 공격 방지 메시지를 받으면 단말기가 공격 목적 서버에 데이터를 전송하는지를 확인하고, 단말기가 공격 목적 서버로 데이터를 전 송하고 있지 않은 경우, 분산서비스거부공격으로 판단하는 것을 포함할 수 있다.
또한, 단말기의 정보는 TCP/IP 또는 UDP/IP를 포함할 수 있다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
비록 제1, 제2 등이 다양한 소자, 구성요소 또는 섹션들을 서술하기 위해서 이용되나, 이들 소자, 구성요소 또는 섹션들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자, 구성요소 또는 섹션들을 다른 소자, 구성요소 또는 섹션들과 구별하기 위하여 이용하는 것이다. 따라서, 이하에서 언급되는 제1 소자, 제1 구성요소 또는 제1 섹션은 본 발명의 기술적 사상 내에서 제2 소자, 제2 구성요소 또는 제2 섹션일 수도 있음은 물론이다.
본 명세서에서 이용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 이용되는 "포함한다(comprises)" 또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 또는 소자의 존재 또는 추가를 배제하지 않는다. 그리고, "A 또는 B"는 A, B, A 및 B를 의미한다. 또, 이하 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 이용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 이용될 수 있을 것이다. 또 일반적으로 이용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않은 한 이상적으로 또는 과도하게 해석되지 않는다.
또한, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명 된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
도 1은 본 발명의 일 실시예에 따른 분산서비스거부공격 방지 시스템을 설명하고 있다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 분산서비스거부공격 방지 시스템(1)은 공격자 마스터(100), 공격 목적 서버(110), 관제 서버(130), 다수의 단말기(140~190)를 포함한다.
공격자 마스터(100)는 공격할 대상이 되는 공격 목적 서버(110)를 결정하고, 결정된 공격 목적 서버(110)를 공격하기 위해서 적어도 하나의 단말기(140~190)을 이용한다. 공격자 마스터(100)의 제어에 의해서, 적어도 하나의 단말기(140~190)는 공격 목적 서버(110)에 다량의 데이터를 보내 분산서비스거부공격을 할 수 있다. 즉, 공격 목적 서버(110)가 처리할 수 없는 정도의 많은 데이터를 보낸다. 여기서, 데이터는 예를 들어, 패킷 형태로 보내질 수 있다.
공격 목적 서버(110)는 적어도 하나의 단말기(140~190)의 공격 대상이 되는 서버이다.
본 발명의 일 실시예에서, 공격 목적 서버(110)는 분산서비스거부공격을 받고 있는지 판단하고, 그 판단 결과에 따라 관제 서버(130)에 분산서비스거부공격을 받고 있음을 알릴 수 있다.
구체적으로 설명하면, 공격 목적 서버(110)에는 처리가능한 데이터량이 미리 설정되어 있는데, 공격 목적 서버(110)는 현재 처리 요구되는 데이터량이 기설정된 데이터량을 초과하고 있는지 여부를 실시간으로 판단할 수 있다. 현재 처리 요구되는 데이터량이 기설정된 데이터량을 초과하는 경우, 공격 목적 서버(110)는 분산서비스거부공격을 받고 있는 것으로 판단할 수 있다. 공격 목적 서버(110)는 관제 서버(130)에 분산서비스거부공격을 받고 있음을 알리고, 분산서비스거부공격 방지 신청을 한다.
공격 목적 서버(110)가 분산서비스거부공격 방지 신청을 하는 방법은 분산서비스거부공격을 받고 있는 것으로 판단 시 공격 목적 서버(110)가 자동으로 방어 신청을 할 수도 있고, 공격 목적 서버(110)의 관리자에 의해서 수동으로 수행될 수도 있다.
관제 서버(130)는 다수의 단말기(140~190)의 TCP/IP 또는 UDP/IP 를 포함한 다수의 단말기(140~190)의 정보와, 접속 포트, 접속 프로토콜을 포함한 접속 정보를 제공받아 유지/저장한다. 관제 서버(130)는 이러한 정보를 이용하여 다수의 단말기(140~190)를 제어/관리하거나, 다수의 단말기(140~190)와 통신하게 된다.
또한, 관제 서버(130)는 공격 목적 서버(110)의 분산서비스거부공격 방지 신 청 여부를 확인한다. 만일, 공격 목적 서버(110)에서 분산서비스거부공격 방지 신청이 있는 경우, 공격 목적 서버(110)로 데이터를 전송하고 있는 적어도 하나의 단말기(140~190)에 공격 방지 메시지를 전송한다. 즉, 적어도 하나의 단말기(140~190)에 분산서비스거부공격 방지를 요청한다.
특히, 다수의 단말기(140~190) 내에는 네트워크 제어기(120~125)가 설치되어 있을 수 있다. 네트워크 제어기(120~125)는 소프트웨어적으로 구현될 수도 있고, 하드웨어적으로 구현될 수도 있다. 네트워크 제어기(120~125)는 도 3을 이용하여 설명하는 것과 같이, 연결 모듈(310), 감시 모듈(320), 차단 모듈(330) 등으로 구성되어 있을 수 있다.
관제 서버(130)는 공격 방지 메시지를 받으면 공격 목적 서버(110)로 데이터를 전송하는 다수의 단말기(140~190)를 확인하여 공격 방지 메시지를 전송 한다.
공격 방지 메시지를 전송 받은 단말기(140~190) 각각의 사용자는 공격 목적 서버(110)로 데이터 전송 여부를 확인하고, 공격 목적 서버(110)로 데이터를 전송하고 있지 않은 경우 분산서비스거부공격으로 판단한다. 데이터 전송 여부를 확인하는 것은, 사용자가 수동으로 확인할 수도 있고, 단말기(140~190)가 자동으로 확인할 수도 있다.
분산서비스거부공격으로 판단한 적어도 하나의 단말기(140~190)는 분산서비스거부공격을 차단한다. 분산서비스거부공격을 차단하는 방법은, 네트워크 제어기(120~125)를 통하여 공격 목적 서버(110)로의 데이터 전송을 차단 시킨다.
이하에서는 도 1 및 도 2를 참조하여, 분산서비스거부공격 방지 방법을 자세 히 설명한다. 도 2에서는 설명의 편의를 위해서, 다수의 단말기(140~190) 중 단말기(140)를 이용하여 설명하였으나, 다른 단말기(150~190)에도 동일하게 적용될 수 있음은 자명하다.
도 2는 도 1에 도시된 분산서비스거부공격 방지 방법을 도시한 흐름도이다. 여기서 공격 목적 서버(110), 단말기(140)의 정보는 TCP/IP 또는 UDP/IP 등을 포함할 수 있다.
도 1 및 도 2를 참조하면, 공격 목적 서버(110)는 분산서비스거부공격을 받고 있는지를 판단한다(S210).
구체적으로, 분산서비스거부공격을 받고 있는지를 판단하는 방법은 공격 목적 서버(110)가 현재 처리가능한 데이터량을 설정등록하고, 설정등록된 데이터량을 초과하는지 여부를 실시간으로 판단한다.
데이터량은 예를 들어, 패킷 분량으로 구분할 수 있다. 예를 들어, 처리가능한 데이터량은 1518byte일 수 있다.
만약, 현재 처리 요구되는 데이터량이 설정등록 한 데이터량을 초과하는 경우, 분산서비스거부공격으로 간주하고 공격 목적 서버(110)는 관제 서버(130)에 수동 또는 자동으로 분산서비스거부공격 방지 신청을 한다.
구체적으로, 공격 목적 서버(110)가 자동으로 분산서비스거부공격 방지 신청을 하는 방법은, 공격 목적 서버(110)가 설정등록 한 데이터량을 초과하는 경우, 공격 목적 서버(110)가 데이터량 초과되면 자동으로 공격 목적 서버(110)의 TCP/IP 또는 UDP/IP, 포트, 프로토콜을 포함한 공격 목적 서버(110)의 정보를 관제 서버(130)에 전송한다.
공격 목적 서버(110)가 수동으로 분산서비스거부공격 방지 신청을 하는 방법은, 공격 목적 서버(110)가 설정등록 한 데이터량을 초과하는 경우, 공격 목적 서버(110) 관리자는 공격 목적 서버(110)를 확인하여 관리자가 수동으로 공격 목적 서버(110)를 통하여 관제 서버(130)에 공격 목적 서버(110)의 포트, 프로토콜을 포함한 공격 목적 서버(110)의 정보를 전송한다.
한편, 공격 목적 서버(110)의 정보가 관제 서버(130)에 사전 등록되어 있을 수 있다. 이 경우 공격 목적 서버(110)는 분산서비스거부공격으로 간주되면 공격 목적 서버(110)에서 처리 요구되는 데이터량이 설정등록 된 데이터량 초과 시 사전 약속된 명령어를 보내 분산서비스거부공격 방지 신청을 한다.
관제 서버(130)는 단말기(140)에 공격 방지 메시지를 전송한다(S220).
관제 서버(130)가 공격 목적 서버(110)로부터 분산서비스거부공격 방지 신청을 받으면, 공격 목적 서버(110)로 데이터를 전송하는 적어도 하나 이상의 단말기(140)에 공격 방지 메시지를 전송한다. 구체적으로, 공격 방지 메시지는 공격 목적 서버(110)의 정보로, 포트, 프로토콜 정보를 포함한다.
공격 방지 메시지를 전송 받은 단말기(140)는 전송 받은 공격 방지 메시지 정보를 이용하여 분산서비스거부공격을 수행하는지를 판단한다(S230).
분산서비스거부공격을 수행하는지를 판단하는 방법은 공격 방지 메시지를 수신한 단말기(140)의 사용자가 공격 목적 서버(110)로 데이터를 전송하고 있는지를 판단한다. 만일 공격 방지 메시지를 전송 받은 단말기(140)의 사용자가 공격 목적 서버(110)로 데이터를 전송하고 있지 않은 경우 분산서비스거부공격으로 판단한다.
네트워크 제어기(120)가 설치된 단말기(140)는 네트워크 제어기(120)를 이용하여 단말기(140) 내부에서 분산서비스거부공격 데이터 전송을 차단한다. (S240).
분산서비스거부공격으로 판단되면 공격 방지 메시지를 전송 받은 단말기(140)가 네트워크 제어기(120)를 통하여 데이터 전송 차단 요청을 하고, 데이터 전송 차단 요청을 받은 네트워크 제어기(120)는 전송 차단 요청 단말기(140)의 공격 목적 서버(110)로의 데이터 전송을 차단 한다.
이하에서는 도 3 및 도 4를 이용하여, 단말기와 관제 서버의 예시적인 구성을 설명한다. 도 3 및 도 4에서는 설명의 편의를 위해서, 다수의 단말기(140~190) 중 단말기(140)를 이용하여 설명하였으나, 다른 단말기(150~190)에도 동일하게 적용될 수 있음은 자명하다.
도 3은 도 1에 도시된 네트워크 제어기(120)가 설치된 단말기(140) 내부의 블록도이다.
도 3을 참조하면, 네트워크 제어기(120)는 연결모듈(310), 감시모듈(320), 차단모듈(330)로 이루어져 있다.
네트워크 제어기(120)의 연결모듈(310)은 단말기(140)의 정보를 일정 기간 간격으로 관제 서버(130)로 전송한다. 여기서 일정 기간은 3개월 또는 6개월과 같이 네트워크 제어기(120)가 설정할 수 있다.
구체적으로, 단말기(140)의 정보는 전술한 바와 같이, 단말기(140)의 TCP/IP 또는 UDP/IP 를 포함한 단말기(140) 정보와 접속 포트, 접속 프로토콜을 포함한 접속 정보를 포함할 수 있다. 관제 서버(130)의 연결모듈(310)은 수집한 단말기(140) 정보와 접속 정보를 유지하며, 관제 서버(130)에 연결된 단말기(140)를 관리한다.
감시모듈(320)은 단말기(140)의 접속 정보를 관리하고, 분산 서비스공격 방지 신청 여부를 확인한다.
접속 정보는 접속 포트, 접속 프로토콜을 포함한다.
차단모듈(330)은 공격 목적 서버(110)로 데이터를 전송하는 단말기(140)가 관제 서버(130)로부터 공격 방지 메시지를 받으면, 단말기(140) 사용자는 공격 목적 서버(110)로 데이터 전송 여부를 확인한다. 단말기(140) 사용자가 데이터를 전송하지 않는 경우 분산서비스거부공격으로 판단하여 네트워크 제어기(120)를 이용하여 데이터 전송을 차단한다.
도 4는 도 1에 도시된 관제 서버(130)를 설명하기 위한 블록도이다.
도 4를 참조하면, 관제 서버(130)의 내부모듈(135)은 단말기(140)와 TCP/IP 또는 UDP/IP 정보 유지 모듈(410), 분산서비스거부공격 방지 신청 수신 모듈(420), 분산서비스거부공격 방지 요청 모듈(430)을 포함한다.
관제 서버(130)의 정보 유지 모듈(410)은 단말기(140)의 TCP/IP 또는 UDP/IP 정보를 받아 저장한다.
분산서비스거부공격 방지 신청 수신 모듈(420)은 공격 목적 서버(110)로부터 분산서비스거부공격 방지 신청을 수신한다. 수신하는 신청 정보는 공격 목적 서버(110)의 포트, 프로토콜을 포함한 공격 목적 서버(110)의 정보이다.
분산서비스거부공격 방지 요청 모듈(430)는 공격 목적 서버(110)로부터 분산서비스거부공격 방지 신청을 수신하면 공격 목적 서버(110)로 데이터를 전송하는 네트워크 제어기(120)가 설치된 단말기(140)에 분산서비스거부공격 방지를 요청한다.
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성 가능하고, 컴퓨터로 읽을 수 있는 기록 매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다.
상기 컴퓨터로 읽을 수 있는 기록 매체는 마그네틱 저장 매체(예를 들어, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 및 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)와 같은 저장 매체를 포함한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
도 1은 본 발명의 일 실시예에 따른 분산서비스거부공격 방지 시스템의 설명도이다.
도 2는 본 발명의 일 실시예에 따른 분산서비스거부공격 방지 시스템의 흐름도이다.
도 3는 본 발명의 일 실시예에 따른 네트워크 제어기가 설치된 단말기 내부의 블록도이다.
도 4는 본 발명의 일 실시예에 따른 관제 서버 블록도이다.
(도면의 주요부분에 대한 부호의 설명)
100: 공격자 마스터 110: 공격 목적 서버
130: 관제 서버 135: 관제 서버 내부모듈
140~190: 단말기
120~125: 네트워크 제어기

Claims (12)

  1. 공격 목적 서버가 다수의 단말기로부터 분산서비스거부공격을 받고 있는지를 판단하고, 그 판단 결과에 따라 공격 목적 서버가 자신의 정보를 관제 서버에 전송함으로써 관제 서버에 분산서비스거부공격을 받고 있음을 알리는 단계;
    상기 공격 목적 서버의 정보를 수신한 상기 관제 서버가 상기 공격 목적 서버로 데이터를 전송하는 다수의 단말기를 확인하여, 상기 다수의 단말기에 공격 방지 메시지를 전송하는 단계;
    상기 공격 방지 메시지를 전송 받은 다수의 단말기 각각은 분산서비스거부공격을 수행하는지를 판단하고, 그 판단 결과에 따라 분산서비스거부공격을 차단하는 단계를 포함하는 분산서비스거부공격의 방어방법.
  2. 공격 목적 서버가 자신의 정보를 관제 서버에 전송함으로써 공격 목적
    서버가 다수의 단말기로부터 분산서비스거부공격을 받고 있음을 관제 서버에 알리
    는 단계;
    상기 공격 목적 서버의 정보를 수신한 상기 관제 서버가 상기 공격 목적 서버로 데이터를 전송하는 다수의 단말기를 확인하여, 상기 다수의 단말기에 공격 방지 메시지를 전송하는 단계; 및 상기 공격 방지 메시지를 전송받은 다수의 단말기 각각은 분산서비스거부공격을 차단하는 단계를 포함하는 분산서비스거부공격의 방어방법.
  3. 제 1항에 있어서, 상기 공격 목적 서버가 다수의 단말기로부터 분산서비스거부공격을 받고 있는지를 판단하는 단계는
    상기 공격 목적 서버가 처리가능한 데이터량을 설정하는 단계와,
    상기 공격 목적 서버가 처리 요구되는 데이터량이 기설정된 데이터량을 초과하고 있는지를 판단하는 단계와,
    기설정된 데이터량을 초과하는 경우 분산서비스거부공격으로 간주하는 단계를 포함하는 분산서비스거부공격의 방어방법.
  4. 삭제
  5. 제 1항 및 제 2항에 있어서, 상기 공격 목적 서버의 정보는
    단말기 정보와 접속정보를 포함하는 분산서비스거부공격의 방어방법.
  6. 제 1항 또는 제 2항에 있어서, 공격 목적 서버의 정보를 관제 서버에 등록하는 단계를 더 포함하고,
    상기 공격 목적 서버가 관제 서버에 분산서비스거부공격을 받고 있음을 알리는 단계는,
    상기 공격 목적 서버는 분산서비스거부공격을 받고 있다고 판단되면,
    상기 공격 목적 서버가 사전 약속된 명령어를 상기 관제 서버에 전송함으로써 분산서비스거부공격을 받고 있음을 알리고,
    상기 관제 서버가 상기 다수의 단말기에 공격 방지 메시지를 전송하는 단계는 상기 사전 약속된 명령어를 수신한 관제 서버가 상기 공격 목적 서버로 데이터를 전송하는 다수의 단말기를 확인하여, 상기 확인된 다수의 단말기에 공격 방지 메시지를 전송하는 단계를 포함하는 분산서비스거부공격의 방어방법.
  7. 제 1항에 있어서, 상기 다수의 단말기 각각이 분산서비스거부공격을 수행하는지를 판단하는 방법은,
    상기 관제 서버로부터 공격 방지 메시지를 받으면, 다수의 단말기가 상기 공격 목적 서버에 데이터를 전송하는지를 확인하는 단계와,
    상기 다수의 단말기가 상기 공격 목적 서버로 데이터를 전송하고 있지 않은 경우, 분산서비스거부공격으로 판단하는 단계를 포함한 분산서비스거부공격의 방어방법.
  8. 삭제
  9. 다수의 단말기와, 공격 목적 서버와, 상기 다수의 단말기 및 상기 공격 목적 서버와 연결된 관제 서버를 포함하되,
    상기 단말기는
    상기 관제 서버에 접속하여 단말기 정보를 일정 기간 간격으로 상기 관제 서버에 전송하는 연결모듈과,
    상기 단말기의 접속 정보를 관리하고, 분산 서비스공격 방지 신청 여부를 확인하는 감시모듈과,
    상기 관제 서버로부터 공격 방지 메시지를 받으면 상기 단말기 사용자로부터 상기 공격 목적 서버에 데이터를 전송하는지를 확인하고,
    상기 단말기 사용자가 상기 공격 목적 서버로 데이터를 전송하고 있지 않은 경우 분산서비스거부공격으로 판단하여 분산서비스거부공격을 차단하는 차단모듈을 포함하는 분산서비스거부공격의 방어시스템.
  10. 다수의 단말기와, 공격 목적 서버와, 상기 다수의 단말기 및 상기 공격 목적 서버
    와 연결된 관제 서버를 포함하되,
    상기 관제 서버는
    상기 다수의 단말기 정보와 접속정보를 유지하는 정보 유지 모듈과,
    상기 공격 목적 서버의 분산서비스거부공격 방어신청을 수신하는 수신 모듈과,
    상기 공격 목적 서버에 데이터를 전송 중인 다수의 단말기에 분산서비스거부
    공격 방지를 요청하는 방어 요청 모듈을 포함하는 분산서비스거부공격의 방어시스
    템.
  11. 삭제
  12. 제 9항에 있어서, 상기 단말기의 정보는
    단말기 정보와 접속정보를 포함하는 분산서비스거부공격의 방어시스템
KR1020080087234A 2008-09-04 2008-09-04 분산서비스거부공격의 방어방법 및 방어시스템 KR100908404B1 (ko)

Priority Applications (6)

Application Number Priority Date Filing Date Title
KR1020080087234A KR100908404B1 (ko) 2008-09-04 2008-09-04 분산서비스거부공격의 방어방법 및 방어시스템
ES09011173.3T ES2524716T3 (es) 2008-09-04 2009-08-31 Procedimiento y sistema de defensa contra un ataque DDoS
EP09011173.3A EP2161898B1 (en) 2008-09-04 2009-08-31 Method and system for defending DDoS attack
PT90111733T PT2161898E (pt) 2008-09-04 2009-08-31 Método e sistema para defesa contra um ataque ddos
US12/551,784 US8359648B2 (en) 2008-09-04 2009-09-01 Method and system for defending DDoS attack
JP2009201206A JP2010061660A (ja) 2008-09-04 2009-09-01 分散サービス拒否攻撃の防御方法および防御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080087234A KR100908404B1 (ko) 2008-09-04 2008-09-04 분산서비스거부공격의 방어방법 및 방어시스템

Publications (1)

Publication Number Publication Date
KR100908404B1 true KR100908404B1 (ko) 2009-07-20

Family

ID=41337762

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080087234A KR100908404B1 (ko) 2008-09-04 2008-09-04 분산서비스거부공격의 방어방법 및 방어시스템

Country Status (6)

Country Link
US (1) US8359648B2 (ko)
EP (1) EP2161898B1 (ko)
JP (1) JP2010061660A (ko)
KR (1) KR100908404B1 (ko)
ES (1) ES2524716T3 (ko)
PT (1) PT2161898E (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101380096B1 (ko) 2010-08-13 2014-04-02 한국전자통신연구원 분산 서비스 거부 공격 대응 시스템 및 그 방법
KR101380015B1 (ko) 2009-09-22 2014-04-14 한국전자통신연구원 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치
US8732832B2 (en) 2010-12-02 2014-05-20 Electronics And Telecommunications Research Institute Routing apparatus and method for detecting server attack and network using the same

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2807574A4 (en) * 2012-01-24 2015-11-18 L 3 Comm Corp METHODS AND APPARATUS FOR MANAGING NETWORK TRAFFIC
US8856924B2 (en) 2012-08-07 2014-10-07 Cloudflare, Inc. Mitigating a denial-of-service attack in a cloud-based proxy service
FI126032B (en) 2013-03-07 2016-05-31 Airo Finland Oy Detection of threats in communication networks
US9197362B2 (en) 2013-03-15 2015-11-24 Mehdi Mahvi Global state synchronization for securely managed asymmetric network communication
US8978138B2 (en) 2013-03-15 2015-03-10 Mehdi Mahvi TCP validation via systematic transmission regulation and regeneration
US9866587B2 (en) 2014-04-09 2018-01-09 Entit Software Llc Identifying suspicious activity in a load test
CN105812318B (zh) * 2014-12-30 2019-02-12 中国电信股份有限公司 用于在网络中防止攻击的方法、控制器和系统
US11405418B2 (en) 2020-06-16 2022-08-02 Bank Of America Corporation Automated distributed denial of service attack detection and prevention
CN112383411B (zh) * 2020-10-22 2022-11-15 杭州安恒信息安全技术有限公司 网络安全预警通报方法、电子装置和存储介质
CN114257434B (zh) * 2021-12-14 2023-10-13 北京知道创宇信息技术股份有限公司 一种DDoS攻击防御方法、电子设备及存储介质
CN114268509B (zh) * 2021-12-30 2023-07-21 天翼物联科技有限公司 防范“僵尸”终端ddos攻击的方法以及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040105355A (ko) * 2003-06-07 2004-12-16 주식회사 디지털파루스 서비스거부 공격 및 분산 서비스거부 공격 차단 기능을갖는 네트워크 인터페이스 카드와 이를 이용한서비스거부 공격 및 분산 서비스거부 공격 차단방법
KR20050006546A (ko) * 2003-07-09 2005-01-17 주식회사 윈스테크넷 실시간 관제를 위한 시스템 및 그 운영 방법
KR20050096743A (ko) * 2004-03-31 2005-10-06 박기진 네트워크 상의 공격 탐지 장치 및 그 방법
KR100766724B1 (ko) * 2006-06-20 2007-10-17 (주)한드림넷 보안스위치 및 보안시스템 및 방법

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003169056A (ja) * 2001-12-04 2003-06-13 Murata Mach Ltd 通信装置及び管理サーバ
US7099320B1 (en) * 2002-04-19 2006-08-29 Conxion Corporation Method and apparatus for detection of and response to abnormal data streams in high bandwidth data pipes
KR100481614B1 (ko) * 2002-11-19 2005-04-08 한국전자통신연구원 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치
US7409712B1 (en) * 2003-07-16 2008-08-05 Cisco Technology, Inc. Methods and apparatus for network message traffic redirection
JP4480422B2 (ja) * 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
US7620986B1 (en) * 2004-06-14 2009-11-17 Xangati, Inc. Defenses against software attacks in distributed computing environments
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
US20060143709A1 (en) * 2004-12-27 2006-06-29 Raytheon Company Network intrusion prevention
JP2006235876A (ja) * 2005-02-23 2006-09-07 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃対策システム、およびDoS攻撃対策方法
US20060272018A1 (en) * 2005-05-27 2006-11-30 Mci, Inc. Method and apparatus for detecting denial of service attacks
JP4545647B2 (ja) * 2005-06-17 2010-09-15 富士通株式会社 攻撃検知・防御システム
US9794272B2 (en) * 2006-01-03 2017-10-17 Alcatel Lucent Method and apparatus for monitoring malicious traffic in communication networks
JP4922620B2 (ja) * 2006-02-15 2012-04-25 パナソニック株式会社 ネットワークシステム
EP2130350B1 (en) * 2007-03-28 2018-04-11 British Telecommunications public limited company Identifying abnormal network traffic
US20090013404A1 (en) * 2007-07-05 2009-01-08 Alcatel Lucent Distributed defence against DDoS attacks
US8286243B2 (en) * 2007-10-23 2012-10-09 International Business Machines Corporation Blocking intrusion attacks at an offending host
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040105355A (ko) * 2003-06-07 2004-12-16 주식회사 디지털파루스 서비스거부 공격 및 분산 서비스거부 공격 차단 기능을갖는 네트워크 인터페이스 카드와 이를 이용한서비스거부 공격 및 분산 서비스거부 공격 차단방법
KR20050006546A (ko) * 2003-07-09 2005-01-17 주식회사 윈스테크넷 실시간 관제를 위한 시스템 및 그 운영 방법
KR20050096743A (ko) * 2004-03-31 2005-10-06 박기진 네트워크 상의 공격 탐지 장치 및 그 방법
KR100766724B1 (ko) * 2006-06-20 2007-10-17 (주)한드림넷 보안스위치 및 보안시스템 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101380015B1 (ko) 2009-09-22 2014-04-14 한국전자통신연구원 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치
KR101380096B1 (ko) 2010-08-13 2014-04-02 한국전자통신연구원 분산 서비스 거부 공격 대응 시스템 및 그 방법
US8732832B2 (en) 2010-12-02 2014-05-20 Electronics And Telecommunications Research Institute Routing apparatus and method for detecting server attack and network using the same

Also Published As

Publication number Publication date
EP2161898B1 (en) 2014-10-22
JP2010061660A (ja) 2010-03-18
EP2161898A1 (en) 2010-03-10
US20100058471A1 (en) 2010-03-04
US8359648B2 (en) 2013-01-22
ES2524716T3 (es) 2014-12-11
PT2161898E (pt) 2015-01-02

Similar Documents

Publication Publication Date Title
KR100908404B1 (ko) 분산서비스거부공격의 방어방법 및 방어시스템
US8423645B2 (en) Detection of grid participation in a DDoS attack
TWI294726B (ko)
US7457965B2 (en) Unauthorized access blocking apparatus, method, program and system
US9088607B2 (en) Method, device, and system for network attack protection
US7653941B2 (en) System and method for detecting an infective element in a network environment
TW201738796A (zh) 網路攻擊的防控方法、裝置及系統
JP2007521718A (ja) セキュリティブリーチ検知に対するネットワークのクオリティオブサービスを保護するシステムおよび方法
JP2006243878A (ja) 不正アクセス検知システム
JP4292213B2 (ja) サービス不能攻撃防御システム、サービス不能攻撃防御方法およびサービス不能攻撃防御プログラム
JP4304249B2 (ja) スキャン攻撃不正侵入防御装置
KR101230919B1 (ko) 이상 트래픽 자동 차단 시스템 및 방법
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
KR20110027386A (ko) 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법
JP2006501527A (ja) ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム
CN108471428B (zh) 应用于CDN系统内的DDoS攻击主动防御技术及装备
JP2002158660A (ja) 不正アクセス防御システム
KR20010082018A (ko) 무선 프로토콜을 이용한 네트워크 플러딩 공격을 방지하는방법 및 장치
US20100157806A1 (en) Method for processing data packet load balancing and network equipment thereof
Sheikh Denial of Service
KR101291470B1 (ko) 통합 보안 장치를 이용한 보안 방법
Akujobi et al. Endpoint-driven intrusion detection and containment of fast spreading worms in enterprise networks
Koutepas et al. Detection and Reaction to Denial of Service Attacks
CN118300802A (zh) 一种数据包状态检测方法、装置、存储介质及电子设备
Nelson Common control system vulnerability

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120710

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150710

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee