KR100920739B1 - 서비스 거부/분산 서비스 거부 공격 유도 시스템 및 서비스 거부/분산 서비스 거부 공격 유도 방법 - Google Patents

서비스 거부/분산 서비스 거부 공격 유도 시스템 및 서비스 거부/분산 서비스 거부 공격 유도 방법 Download PDF

Info

Publication number
KR100920739B1
KR100920739B1 KR1020090067757A KR20090067757A KR100920739B1 KR 100920739 B1 KR100920739 B1 KR 100920739B1 KR 1020090067757 A KR1020090067757 A KR 1020090067757A KR 20090067757 A KR20090067757 A KR 20090067757A KR 100920739 B1 KR100920739 B1 KR 100920739B1
Authority
KR
South Korea
Prior art keywords
terminal
traffic
gslb
proxy server
host
Prior art date
Application number
KR1020090067757A
Other languages
English (en)
Inventor
이종철
Original Assignee
주식회사 시소아이티
이종철
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시소아이티, 이종철 filed Critical 주식회사 시소아이티
Priority to KR1020090067757A priority Critical patent/KR100920739B1/ko
Application granted granted Critical
Publication of KR100920739B1 publication Critical patent/KR100920739B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

DOS/DDOS 공격이 발생한 경우의 해결책으로서: 도메인 네임 변환 요청을 전송하는 적어도 하나의 IP 단말과, 다양한 컨텐츠를 구비하고, 소정의 IP 주소를 대상으로 하는, 상기 IP 단말로부터의 컨텐츠 제공 요청에 대응하여 요청된 컨텐츠를 제공하는 IP 호스트와, 상기 IP 호스트의 전단에 배치되며, 상기 IP 호스트가 구비하는 컨텐츠 중 적어도 일부를 저장하는 웹캐시를 구비하고, 상기 IP 호스트를 대상으로 하는 상기 컨텐츠 제공 요청을 수신하면 상기 IP 호스트를 대신하여 상기 웹캐시에 저장된 컨텐츠를 제공하는 기능을 수행하는, 서로 병렬 연결된 복수의 프록시 서버와, 상기 도메인 네임 변환 요청에 포함된 도메인 네임을 관련된 상기 복수의 프록시 서버 중의 적어도 하나의 프록시 서버에 대한 IP 주소로 변환하고, 상기 변환된 IP 주소를 상기 IP 단말로 반환하는 GSLB를 포함하여 이루어지는 서비스 거부/분산 서비스 거부 공격 유도 시스템을 제공한다.
DOS/DDOS, GSLB, 프록시 서버

Description

서비스 거부/분산 서비스 거부 공격 유도 시스템 및 서비스 거부/분산 서비스 거부 공격 유도 방법{SYSTEM AND METHOD FOR HOLDING DoS/DDoS ATTACK}
본 발명은, 서비스 거부/분산 서비스 거부 공격 유도 시스템 및 서비스 거부/분산 서비스 거부 공격 유도 방법에 관한 것으로서, 더욱 상세하게는, 웹 컨텐츠를 제공하는 IP 호스트에 대하여 서비스 거부/분산 서비스 거부 공격이 발생한 경우, 이 공격을 유도하여 두고, 정상 접속에 대해서는 웹 컨텐츠가 원활하게 제공될 수 있도록 하는 시스템 및 방법에 관한 것이다.
일반적으로 DOS/DDOS 공격으로 알려진 서비스 거부(Denial of Service)/분산 서비스 거부(Distributed Denial of Service) 공격은, 클라이언트 단말에서 대량의 불량 트래픽을 웹 네트워크를 통해 컨텐츠 제공 서버로 전송함으로써, 컨텐츠 제공 서버의 클라이언트 접속 수용을 위한 자원이 고갈되어 더이상의 클라이언트 단말로부터의 접속을 수용하지 못하도록 하는 원시적인 공격 방법이다. 하지만, 이에 대한 궁극적인 해결 방법은 현재까지 개발되어 있지 않다.
더욱, DOS/DDOS 공격은 네트워크에 연결된 웹 컨텐츠 제공 서버, 프록시 서버 또는 이런 종류의 어떠한 자원에 대해서도 발생할 수 있다.
특히, 컨텐츠 제공 서버의 측면에서는, DOS/DDOS 공격에 대한 확고한 방지책이 필요하다.
상술한 바와 같은, DOS/DDOS 공격이 발생한 경우의 해결책은, 해당 서버에 대해 공개된 IP 주소(DOS/DDOS 공격이 발생한 IP 주소)에 의한 통신 접속을 차단하는 것이며, 해당 서버로의 접속을 요청한 클라이언트(DOS/DDOS 공격자가 아닌 클라이언트)에 대해서는 또다른 접속 경로를 제공하여 해당 서버에 대한 원활한 접속을 가능하게 하는 것이다.
이를 위하여, 본 발명은, 구성이 간단하고 비용이 저렴한 네트워크 구조를 제공하여 상술한 해결책을 구현함으로써, DOS/DDOS 공격에 대하여 효율적으로 대응할 수 있는 네트워크 시스템을 제공하고자 하는 것을 목적으로 한다.
또한, 본 발명은, DOS/DDOS 공격이 발생한 경우, DOS/DDOS 공격자를 역추적할 수 있는 시간 및 방법을 제공할 수 있는 네트워크 시스템을 제공하고자 하는 것을 또다른 목적으로 한다.
상술한 목적을 달성하기 위한 본 발명은, 도메인 네임 변환 요청을 전송하는 적어도 하나의 IP 단말과, 상기 도메인 네임 변환 요청에 포함된 도메인 네임을 관련된 IP 주소로 변환하고, 상기 변환된 IP 주소를 상기 IP 단말로 반환하는 GSLB과, 및 상기 IP 주소의 대상으로서, 다양한 컨텐츠를 구비하고, 상기 IP 주소를 대상으로 하는 상기 IP 단말로부터의 컨텐츠 제공 요청에 대응하여 요청된 컨텐츠를 제공하는 IP 호스트를 포함하여 이루어지는 웹 네트워크에 있어서, 상기 IP 단말과 상기 IP 호스트 사이에서 상기 IP 호스트의 전단에 배치되며, 상기 IP 호스트가 구비하는 컨텐츠 중 적어도 일부를 저장하는 웹캐시를 구비하고, 상기 GSLB에 자신의 IP 주소 및 자신의 트래픽 상태를 나타내는 트래픽 상태 보고를 전송하고, 상기 IP 호스트를 대상으로 하는 상기 컨텐츠 제공 요청을 수신하면 상기 IP 호스트를 대신하여 상기 웹캐시에 저장된 컨텐츠를 제공하는 기능을 수행하는, 서로 병렬 연결된 복수의 프록시 서버;를 더 포함하고, 상기 GSLB는, 복수의 상기 IP 단말 중의 어느 하나 또는 복수인 제1 IP 단말로부터 상기 IP 호스트에 대한 도메인 네임 변환 요청을 수신하면, 상기 제 IP 단말로 상기 복수의 프록시 서버 중의 어느 하나인 제1 프록시 서버에 대한 IP 주소를 반환하고, 상기 제1 프록시 서버로부터, 상기 제1 IP 단말을 발신지로 하는 소정의 기준 트래픽을 초과하는 과도한 트래픽이 발생했음을 나타내는 트래픽 상태 보고를 수신한 경우에 있어서, 상기 제1 IP 단말과는 다른 하나 또는 복수의 제2 IP 단말로부터 상기 IP 호스트에 대한 도메인 네임 변환 요청을 수신하면, 상기 GSLB는 상기 제2 IP 단말에 대해서 상기 제1 프록시 서버와는 다른 제2 프록시 서버에 대한 IP 주소를 반환하는 것을 특징으로 하는 서비스 거부/분산 서비스 거부 공격 유도 시스템을 제공한다.
또한, 상기 GSLB는, 상기 IP 단말로부터 상기 도메인 네임 변경 요청을 수신할 때마다 또는 일정 시간마다 상기 복수의 프록시 서버로 트래픽 상태를 보고하도록 하는 트래픽 상태 보고 요청을 상기 복수의 프록시 서버 각각으로 전송하는 것을 특징으로 한다.
또한, 상기 프록시 서버는, 상기 GSLB로부터 전송되는 트래픽 상태 보고 요 청에 대응하여, 또는 트래픽이 상기 기준 트래픽을 초과할 때마다, 또는 일정 시간마다, 상기 GSLB 측으로 상기 트래픽 상태 보고를 전송하는 것을 특징으로 한다.
또한, 상기 GSLB는, 상기 프록시 서버로부터 지속적으로 상기 트래픽 상태 보고를 수신하고, 상기 트래픽 상태 보고에 기초하여 상기 프록시 서버의 트래픽 상태가 상기 기준 트래픽 이하로 안정된 것으로 판정되면, 상기 프록시 서버를 컨텐츠 제공 기능을 수행가능한 준비 프록시 서버로 설정하는 것을 특징으로 한다.
또한, 상기 프록시 서버는, 과도한 트래픽의 원인을 파악하는 기능을 더 포함하고, DDoS 공격에 의해 과도한 트래픽이 발생한 경우, DDoS 공격 경보를 상기 트래픽 상태 보고에 포함하여 상기 GSLB 측으로 전송하는 것을 특징으로 한다.
또한, 상기 프록시 서버는, 과도한 트래픽이 발생하면, 상기 IP 호스트와의 접속을 종료하고, 구비한 웹캐시에 저장된 컨텐츠만으로 상기 IP 단말의 컨텐츠 제공 요청에 대응하는 것을 특징으로 한다.
또한, 상술한 목적을 달성하기 위한 본 발명의 또다른 형태에서는, 도메인 네임 변환 요청을 전송하는 적어도 하나의 IP 단말과, 상기 도메인 네임 변환 요청에 관련된 IP 주소를 상기 IP 단말로 반환하는 GSLB과, 상기 IP 단말로 다양한 컨텐츠를 제공하는 IP 호스트와, 상기 IP 호스트의 전단에 배치되며 상기 IP 호스트를 대행하는 기능을 수행하고 서로 병렬 연결된 복수의 프록시 서버를 포함하여 이루어지는 웹 네트워크 중 상기 GSLB에 의한 서비스 거부/분산 서비스 거부 공격 유도 방법으로서: 상기 복수의 프록시 서버에 대한 각각의 IP 주소를 유지하는 단계; 복수의 상기 IP 단말 중의 어느 하나 또는 복수인 제1 IP 단말로부터 상기 IP 호스 트에 대한 도메인 네임 변환 요청을 수신하는 단계; 상기 복수의 프록시 서버 중의 어느 하나인 제1 프록시 서버에 대한 IP 주소를 상기 제1 IP 단말로 반환하는 단계;를 포함하고, 상기 GSLB가 상기 제1 프록시 서버로부터 상기 제1 IP 단말을 발신지로 하는 소정의 기준 트래픽을 초과하는 과도한 트래픽이 발생했음을 감지한 경우에 있어서, 상기 제1 IP 단말과는 다른 하나 또는 복수의 제2 IP 단말로부터 상기 IP 호스트에 대한 도메인 네임 변환 요청을 수신하면, 상기 제2 IP 단말에 대해서 상기 제1 프록시 서버와는 다른 제2 프록시 서버에 대한 IP 주소를 반환하는 단계;를 더 포함하는 것을 특징으로 하는 서비스 거부/분산 서비스 거부 공격 유도 방법을 제공한다.
또한, 상기 GSLB는, 상기 IP 단말로부터 상기 도메인 네임 변경 요청을 수신할 때마다 또는 일정 시간마다 상기 복수의 프록시 서버로 자신의 트래픽 상태를 보고하도록 하는 트래픽 상태 보고 요청을 상기 복수의 프록시 서버 각각으로 전송하고, 상기 트래픽 상태 보고 요청에 대응하여 상기 복수의 프록시 서버로부터 전송되는 상기 트래픽 상태 보고를 수신하는 것을 특징으로 한다.
또한, 상기 프록시 서버는, 상기 GSLB로부터 전송되는 트래픽 상태 보고 요청에 대응하여, 또는 트래픽이 상기 기준 트래픽을 초과할 때마다, 또는 일정 시간마다, 상기 GSLB 측으로 상기 트래픽 상태 보고를 전송하는 것을 특징으로 한다.
상술한 바와 같은 구성으로 이루어지는 본 발명에 의하면, GSLB가 복수의 프록시 서버 중 어느 하나(또는 복수)를 선택하여 컨텐츠 제공 서비스를 수행하도록 함으로써, 만약 DoS/DDoS 공격이 발생한 경우에 있어서, IP 호스트의 직접적인 피해를 최소화할 수 있고, 공격받고 있는 프록시 서버를 차단하고 대기중인 프록시 서버를 이용함으로써 정상적인 인터넷 사용자에 대해서는 원활한 서비스 제공을 유지할 수 있다.
또한, 어느 하나 또는 복수의 프록시 서버에 DoS/DDoS 공격이 발생한 경우, 공격을 해당 프록시 서버로 유도하는 상태가 되므로, 공격자를 추적할 수 있는 방안을 제시할 수 있다.
이하, 첨부한 도면을 참조하여, 본 발명을 상세히 설명한다.
도 1은, 클라이언트가 요청하는 웹 컨텐츠를 제공하기 위한 웹 네트워크에 있어서, 본 발명의 일 실시예에 따른 서비스 거부/분산 서비스 거부(DOS/DDOS) 공격 유도 시스템이 적용된 구성 형태를 나타낸 블록도이다. 또한, 도 2는 본 발명의 일 실시예에 따른 서비스 거부/분산 서비스 거부 공격 유도 시스템에 있어서, 각 요소의 상세한 구성을 설명하기 위한 도면이다.
도 1에 따르면, DOS/DDOS 공격 유도 시스템을 이루는 웹 네트워크는, IP 단말(10)과 GSLB(20)와, 복수의 프록시 서버(30,32; 이하, 주로 (30)으로 표시)와, IP 호스트(40)를 포함하여 이루어진다.
IP 단말(10)은, 웹 컨텐츠를 이용할 수 있도록 유무선 통신을 이용하여 웹 네트워크에 연결되며, 후술하는 GSLB(20) 및 프록시 서버(30)를 통하여 IP 호스트에 연결된다. 이러한 IP 단말(10)은 4바이트의 2진 비트열로 이루어진 고유의 IP 주소를 유지하고 있으며, 이 IP 주소에 의해 각각의 IP 단말이 웹 네트워크 상에서 고유하게 식별될 수 있다. (웹 네트워크를 구성하는 후술하는 모든 구성 요소들도 역시 개별적인 고유의 IP 주소를 가지고 있다.)
IP 단말(10)은 사용자의 요청에 의해 원하는 인터넷 컨텐츠를 저장하고 있는 적어도 어느 하나의 IP 호스트(40)를 목적지로 하는 컨텐츠 제공 요청을 발송한다.
이하의 설명에서는, IP 단말은, IP 호스트(40)에 대하여 컨텐츠의 제공을 요청하는 모든 단말을 포함하여 지칭하는 것이며, 여기에는 후술하는 공격자 단말 및 정상 단말이 모두 포함될 수 있음을 이해해야 한다.
한편, 웹 네트워크 상에서 상기의 컨텐츠를 저장하는 IP 호스트(40)는 고유의 IP 주소 외에도, 이 IP 주소와 대응되는 사용자가 쉽게 식별할 수 있는 문자 또는 기호로 이루어진 도메인 네임을 갖는다. 따라서, IP 단말(10)을 사용하는 사용자는, 상기 컨텐츠를 요청하기 위하여 IP 호스트(40)의 고유의 IP 주소를 직접 입력할 필요 없이, 식별이 용이한 도메인 네임을 이용하여 컨텐츠 제공 요청을 발송할 수 있게 된다.
이러한 구성에서, IP 단말(10)은 먼저, 컨텐츠를 요청하기 위한 목적지 IP 호스트(40)의 도메인 네임을 포함하는 도메인 네임 변환 요청을 도메인 네임 서버(DNS)(또는 GSLB(20))로 전송하고, 도메인 네임 서버(20)로부터 요청된 도메인 네임에 대응하는 IP 주소가 반환되면, 이 IP 주소를 목적지로 하여 자신의 IP 주소 를 포함하는 컨텐츠 제공 요청을 재차 발송하게 된다.
GSLB(Global Server Load Balancer)(지능형 DNS, GTM, GLB로도 불리움)(20)는 일종의 DNS로서, 일반적인 DNS의 기능을 수행하며 웹 네트워크에 연결되어 있는 하나 또는 복수의 IP 호스트(40)들에 대한 도메인 네임과 이에 대응하는 IP 주소를 목록으로 유지하고 있다. 그리고 IP 단말(10)로부터 도메인 네임 변환 요청을 접수하면 포함된 IP 호스트(40)의 도메인 네임에 해당하는 IP 주소를 반환한다.
GSLB(20)는, 하나의 IP 호스트(40)에 대하여 하나 또는 복수의 IP 주소를 유지하고 있으며, IP 단말(10)에 대하여 임의의 방식으로 IP 주소를 선택적으로 반환한다. IP 주소의 선택 방법은 RR(Round-Robin), LC(Least-Connection), WR(Weight Round-Robin) 등의 방법이 있으며, 어떠한 방식을 사용하는 것도 무관하다. 이러한 기능을 제공하기 위하여, GSLB(20)는 도 2에 도시된 바와 같이 DNS 모듈(24)을 구비한다.
IP 호스트(40)는, 다양한 멀티미디어 컨텐츠를 저장하는 데이터베이스(도시하지 않음)를 포함하여 이루어지며, 소정의 IP 단말(10)을 발신지로 하여 입력되는 컨텐츠 제공 요청을 수신하고, 상기 IP 단말(10)에 대하여 요청된 컨텐츠를 제공한다.
이와 같은 구성으로 이루어지는 웹 네트워크에 있어서, 본 발명의 일 실시예에 따른 서비스 거부/분산 서비스 거부 공격 유도 시스템은, 복수의 프록시 서버를 추가하는 구성으로 이루어진다.
프록시 서버(30)는, GSLB(20)와 IP 호스트(40) 사이에 배치되며, IP 호스트(40)에서 제공하는 멀티미디어 컨텐츠의 적어도 일부를 유지하며, IP 단말(10)의 컨텐츠 제공 요청에 대응하여 IP 호스트(40)를 대신하여 요청된 컨텐츠를 IP 단말(10)에게 제공하여준다. 이를 위하여, 프록시 서버(30)에는, IP 호스트(40)를 대신하여 컨텐츠 제공 수단으로 동작하기 위한 프록시 모듈(35)과, 상기 컨텐츠에 대한 저장 공간으로서 동작하는 웹캐시 모듈(37)이 구비된다(도 2 참조).
또한, 프록시 서버(30)는 복수 개가 병렬로 연결되어 있으며, GSLB(20) 및/또는 IP 호스트(40)에 의해 적어도 하나의 프록시 서버(30)가 선택될 수 있으며, 선택된 프록시 서버(30)를 통하여 컨텐츠 제공 요청 및/또는 요청된 컨텐츠가 각각의 목적지를 향하여 송수신된다. 이를 위하여, 포함된 복수의 프록시 서버(30)의 각각의 IP 주소들은 GSLB(20) 및/또는 IP 호스트(40)에 미리 등록되어 있는 것이 바람직하다.
더욱, GSLB(20)에는 프록시 서버 상태 검사 모듈이 구비되며, 주기적으로 또는 필요에 의하여 프록시 서버(30)의 트래픽 상태를 검사하여 보고하도록 하는 트래픽 상태 보고 요청을 전송한다.
프록시 서버(30)는, 트래픽 상태 보고 요청에 대응하여, 현재 자신의 프록시 서버(30)로 입력되는 컨텐츠 제공 요청에 의한 트래픽 상태를 검사하고, 검사된 현재의 트래픽 상태를 나타내는 정보인 트래픽 상태 보고를 GSLB(20) 및/또는 IP 호스트(40)에 대하여 전송하는 기능을 갖는데, 특히 GSLB(20)에 대하여 전송하는 것이 바람직하다.
프록시 서버(30)에서 자신의 트래픽 상태를 검사하는 시기는, 다양하게 설정될 수 있다. 즉, GSLB(20) 및/또는 IP 호스트(40)로부터 트래픽 상태를 검사하여 보고하라는 트래픽 상태 보고 요청을 접수한 경우, 일정 시간 주기마다, 자신의 트래픽 상태가 소정의 기준 트래픽을 초과하도록 과도하게 발생한 경우에 트래픽 상태 보고를 수행하도록 설정될 수 있다. 한편, 트래픽 상태 보고는, 트래픽을 유발하는 발신지의 IP 주소 등을 포함할 수 있으며, 더욱, 과도한 트래픽이 서비스 거부/분산 서비스 거부 공격에 의한 것인지를 감지하여 이를 보고할 수도 있다. 더 나아가, 프록시 서버(30)는, 서비스 거부/분산 서비스 거부 공격이 발생한 것으로 간주되면, IP 호스트(40)와의 연결을 임시로 단절시켜 IP 호스트(40)에 대한 공격을 차단할 수 있도록 하는 것이 바람직하다.
이러한 트래픽 상태 보고는, DoS/DDoS 검사 모듈(36)에 의해 이루어진다.
이러한 구성의 웹 네트워크에 있어서, 먼저, GSLB(20)는 웹 네트워크를 통해 IP 단말(10)로부터 도메인 네임 변환 요청을 접수하면, 요청된 도메인 네임에 해당하는 IP 호스트(40)를 확인하고, 해당하는 IP 호스트(40) 사이에 배치된 복수의 프록시 서버(30) 중에서 적어도 어느 하나의 프록시 서버(30)에 대한 IP 주소를 IP 단말(10)에 반환하여 준다.
이때, 선택되는 프록시 서버(30)는, GSLB(20)가 도메인 네임 변환 요청을 접수한 경우에 각각의 프록시 서버(30)에 대하여 트래픽 상태 보고 요청을 발송하고, 이에 응답하는 트래픽 상태 보고에 기초하여 트래픽 상태가 양호하여 컨텐츠의 원 활한 제공이 가능한 적어도 하나의 프록시 서버(30)를 선택하고, 선택된 프록시 서버(30)의 IP 주소를 반환하는 절차로 이루질 수 있다. 또한, GSLB(20)에서, 각각의 프록시 서버(30)에서 도메인 네임 변환 요청에 무관하게 시간 주기에 따라 정기적으로 발송하는 트래픽 상태 보고에 기초하여 각 프록시 서버(30)들의 상태를 관리하고, 도메인 네임 변환 요청이 접수되면 적어도 어느 하나의 프록시 서버(30)를 선택하여 그 IP 주소를 반환할 수도 있다.
이때, GSLB(20)는 프록시 서버(30)의 상태를 확인하고, 다수의 IP 단말(10)이 이미 연결된 상태여서 트래픽이 과도한 상태, 특히 서비스 거부/분산 서비스 거부 공격에 의해 트래픽이 과도하게 발생한 상태인 어떤 하나 또는 복수의 프록시 서버(30)의 IP 주소는 도메인 네임 변환 요청을 발송한 IP 단말(10)에 대하여 반환하지 않도록 한다.
이에 의해, 만약에 어떤 악의적인 IP 단말(공격자 단말; 제1 IP 단말)(15)에 의해 서비스 거부/분산 서비스 거부 공격이 발생한 프록시 서버(제1 프록시 서버)(30)가 존재한다면, GSLB(20)는 이후에 IP 호스트(40)로의 연결을 요청하는 선의의 IP 단말(정상 단말; 제2 IP 단말)(10)에 대해서는 공격당하고 있지 않은 프록시 서버(제2 프록시 서버)(32)의 IP 주소를 반환하게 되므로, 제2 IP 단말(10)에 대해서는 원활하게 요청된 컨텐츠를 제공하여 줄 수 있게 된다. 하지만, 제1 IP 단말(15)은 여전히 제1 프록시 서버(30)에 대하여 공격을 계속하는 상태이며, 이는 제1 IP 단말(15)의 공격을 제1 프록시 서버(30)로 유도하는 상태로 볼 수 있다.
이때, 제1 프록시 서버(30)는 트래픽 상태 보고를 통해 자신이 서비스 거부/ 분산 서비스 거부 공격을 받고 있다는 정보를 GSLB(20) 및/또는 IP 호스트(40)로 전송하게 되므로, GSLB(20) 및/또는 IP 호스트(40)는 제1 프록시 서버(30)에 발생한 공격을 역추적하여 공격의 발신지를 찾아낼 수 있을 가능성이 높아지게 된다.
한편, 이와 같은 프록시 서버(30)는, 자신의 상태를 4가지 모드로 변환시킬 수 있는데, 그 종류는 다음의 표 1과 같다.
모드 내용 다음 전환 가능 모드
활성(active) 프록시 서버가 IP 호스트의 서비스를 대행하고 있는 상태 공격 유도
대기(standby) 프록시 서버가 IP 호스트의 서비스를 대행하기 위해 준비된 상태 활성
공격유도(honey-pot) 서비스 거부/분산 서비스 거부 공격을 받고 있는 상태 대기
불능(inactive) 사용 불능 상태 대기
활성 모드는, 프록시 서버(30)가 IP 단말(10)로부터의 컨텐츠 제공 요청에 대응하여 IP 호스트(40)를 대신하여 요청된 컨텐츠를 제공하고 있는 상태를 말한다.
대기 모드는, 아직은 IP 호스트(40)를 대신하고 있지 않지만, 언제든 대신하여 컨텐츠를 제공하여 줄 수 있는 상태이다. 이후에 GSLB(20)에 의해 해당 프록시 서버(30)의 IP 주소가 IP 단말로 반환되면, IP 단말(10)로부터의 컨텐츠 제공 요청에 대응하여 소정의 컨텐츠를 제공하게 되는 활성 모드로 전환될 수 있다.
공격 유도 모드는, 현재 서비스 거부/분산 서비스 거부 공격을 받고 있으며 그 공격이 계속 유지되어 과도한 트래픽이 발생하고 있는 상태로서, 추가적인 IP 단말로(10)부터의 접속 및/또는 IP 호스트와의 접속이 차단된 상태이다. 이러한 상태에서 이후 공격자 단말(15)로부터의 공격이 중지하고 트래픽 상태가 정상으로 안 정화되면, GSLB(20)에 트래픽이 안정화되었음을 보고하는 트래픽 상태 보고를 전송하고 IP 호스트(40)와의 연결을 재개함으로써 IP 호스트(40)의 서비스를 대행할 준비가 된 대기 모드로 전환된다.
불능 모드는 프록시 서버(30)의 각종 이유에 의해 사용 불능인 상태를 나타내며, 해당 사용 불능 상태의 원인이 해소되면, 대기 모드로 전환된다.
다음으로, 도 3 내지 도 10를 참조하여, 본 발명에 따른 서비스 거부/분산 서비스 거부 공격 유도 시스템의 동작 및 작용에 대하여 설명한다. 도면에서는 2개씩의 프록시 서버(30, 32)를 병렬로 연결한 상태를 도시하고 있지만, 프록시 서버(30)의 개수는 하나일 수도 있으며, 다수 개가 배치될 수도 있다. 또한, 여기에서는, GSLB(20)는 정해진 시간 주기마다 각각의 프록시 서버(30)에 대하여 트래픽 상태 보고 요청을 전송하고, 이에 대한 응답인 트래픽 상태 보고에 기초하여 각각의 프록시 서버(30)의 현재 상태를 유지관리하고 있는 것으로 설명한다.
먼저, 도 3 및 도 4는, DoS/DDoS 공격이 발생하지 않은 상태에서 시스템의 동작을 설명하기 위한 구성도 및 신호 흐름도이다.
GSLB(20)는 평상시 일정한 주기마다 각각의 프록시 서버(제1 프록시 서버, 제2 프록시 서버)(32)에 대하여 트래픽 상태 보고 요청(또는 현재 상태가 어떤 모드인지를 보고하도록 하는 요청)을 전송하고(S112, S113), 각각의 프록시 서버(30, 32)에서는 자신의 트래픽 상태(및/또는 현재의 모드)를 나타내는 트래픽 상태 보고를 전송한다(S114, S115). GSLB는 이러한 정보를 수신하여 각 프록시 서버(30, 32) 의 상태를 관리한다.
이후, GSLB(20)에서, www.a.com을 도메인 네임으로 하는 IP 호스트(40)에 대하여 연결을 시도하는 IP 단말(정상 단말)(10)로부터 도메인 네임 변환 요청을 접수하면(S116), 관리중인 각 프록시 서버(30, 32) 중에서 활성 모드 또는 대기 모드인 프록시 서버(30, 32) 중 어느 하나의 프록시 서버의 IP 주소를 반환하게 되는데, 주로 활성 모드인 프록시 서버(30)에 대한 IP 주소를 반환한다(S117).
IP 단말(10)에서는 반환된 IP 주소에 해당하는 프록시 서버(30)로 소정의 컨텐츠를 요청하는 컨텐츠 제공 요청을 전송하고(S118), 프록시 서버(30)에서는 자신이 직접 응답하거나 IP 호스트(40)에 연결하여 요청된 컨텐츠를 요청한다(S119). IP 호스트(40)는 요청된 컨텐츠를 프록시 서버(30)로 전송하고(S120), 프록시 서버(30)는 전송된 컨텐츠를 IP 단말(10)로 중계한다(S121).
이와 같이 복수의 프록시 서버를 이용하게 되면, IP 호스트에 대한 접속이 하나의 프록시 서버로 집중되는 것을 방지할 수 있어서, 더욱 고속의 컨텐츠 제공 서비스를 제공할 수 있게 된다.
다음, 도 5 및 도 6은, DoS/DDoS 공격이 발생한 상태에서 시스템의 동작을 설명하기 위한 구성도 및 신호 흐름도이다.
먼저, GSLB(20)에서 복수의 프록시 서버(30)들에 대한 각각의 상태를 관리하는 중에 있어서(S212, S213, S214, S215), 어떤 IP 단말(10)로부터 도메인 네임 변환 요청을 접수하면(S216), 활성화 상태인 어느 하나의 프록시 서버(30)에 대한 IP 주소를 반환한다(S217).
이후 IP 단말(10)은 악의적인 목적으로 해당 프록시 서버(30)에 대하여 DoS/DDoS 공격을 시도하게 되고(S218), 프록시 서버(30)는 이 공격을 실시하는 IP 단말(공격자 단말)(15)과의 접속을 차단하고(S219), 현재 DoS/DDoS 공격을 받았음을 GSLB에 트래픽 상태 보고를 통해 통보하고, 자신을 공격 유도 모드로 설정하도록 한다(S220). 이때, 공격받고 있는 프록시 서버(30)에서 공격자 단말(15)과의 접속을 차단하는 것은 필요에 따라 선택될 수 있으며, 접속을 차단하지 않고 유지하고 있는다면, 공격자 단말(15)의 DoS/DDoS 공격을 유도하는 효과를 나타내게 되는 것이다.
다음, 도 7 및 도 8은, DoS/DDoS 공격이 발생한 경우, 이후에 발생하는 또다른 IP 단말에 대한 서비스를 제공하는 동작을 설명하는 도면이다.
먼저, GSLB(20)에서 복수의 프록시 서버(30)들에 대한 각각의 상태를 관리하는 중에 있어서, 어떤 IP 단말(추후 DoS/DDoS 공격을 시도하고자 하는 악의가 있는 IP 단말로서, 이후, 공격자 단말)(15)로부터 도메인 네임 변환 요청을 접수하면, 그 IP 단말에 대하여 활성화 상태인 어느 하나의 프록시 서버(제1 프록시 서버)(30)에 대한 IP 주소를 반환하게 되고, 이에 공격자 단말(15)은 해당 프록시 서버(30)의 IP 주소로 DoS/DDoS 공격을 시도하게 된다(S312). 이에 공격을 받고 있는 프록시 서버(30)는 GSLB(20)에 현재 자신이 공격을 받고 있음을 나타내는 트래픽 상태 보고를 전송하고 자신을 공격 유도 모드로 전환한다(S313). 이와 같이 GSLB(20)에서는 프록시 서버로부터 DoS/DDoS 공격을 통보해오면, 웹 네트워크 관리자 등에 자동으로 통보하여, 공격자를 차단하거나 추적하는 절차가 추가적으로 진행될 수도 있다.
한편, 이와 같이 공격이 발생하고 있는 중에, 또다른 IP 단말(DoS/DDoS 공격에 대한 악의적인 의도가 없는 IP 단말로서, 이후, 정상 단말)(10)로부터 도메인 네임 변환 요청이 접수되면(S314), GSLB(20)는, DoS/DDoS 공격을 받고 있지 않은 또다른 프록시 서버(제2 프록시 서버)(32)를 활성 모드로 전환하도록 하고, 활성 모드의 제2 프록시 서버(32)의 IP 주소를 정상 단말로 반환함으로써(S315), 정상 단말(10)은 제2 프록시 서버(32)를 이용하여 IP 호스트로부터 정상적으로 원하는 컨텐츠를 제공받을 수 있도록 한다(S316, S317, S318, S319).
이와 같은 구성에 의하면, IP 호스트(40)에 대한 악의적인 목적으로 DoS/DDoS 공격이 발생하더라도, 정상 단말(10)에 대해서는 정상적으로 원하는 컨텐츠를 제공받을 수 있도록 할 수 있는 안정적인 시스템을 제공할 수 있게 된다.
다음, 도 9 및 도 10은 공격자 단말이 어느 하나의 프록시 서버를 공격한 후, 또다른 프록시 서버를 공격하는 상황 및 이에 대한 처리를 설명하기 위한 도면이다.
먼저, 도 9의 상태는 제1 프록시 서버(30)가 이미 공격자 단말(15)에 의해 DoS/DDoS 공격을 받은 상태로서, GSLB(20)에 대하여 트래픽 상태 보고로 자신이 공격 받았음을 통보하고, 공격 유도 모드로 유지되어 있는 상태를 보여준다. 이때, GSLB(20)는 제1 프록시 서버(30)의 상태를 확인하고, 이어지는 IP 단말(공격자 단말이지만, GSLB에서는 일반적인 IP 단말(정상 단말)로 간주함)(15)로부터의 도메인 네임 변환 요청에 대하여 제2 프록시 서버(32)를 활성 모드로 설정하도록 하고 제2 프록시 서버(32)의 IP 주소를 반환한다.
한편, 도 10에서는, 공격자 단말이 반환되는 IP 주소에 대하여 또다시 DoS/DDoS 공격을 시도하는 상태를 보여준다. 이때, DoS/DDoS 공격을 받은 제2 프록시 서버(32)는 트래픽 상태 보고를 통해 GSLB(20)에 대하여 자신이 공격받고 있음을 통보하게 되고, 이어서 공격 유도 모드로 전환된다.
이러한 상태에서, 또다른 IP 단말(정상 단말)(10)로부터 도메인 네임 변환 요청이 수신되면, GSLB(20)는 현재 대기 모드인 제3 프록시 서버(33)를 활성 모드로 전환하도록 하고 제3 프록시 서버(33)의 IP 주소를 IP 단말로 반환한다. 이로써 정상 단말(10)에 대한 정상적인 컨텐츠 제공 서비스가 제공될 수 있게 된다.
한편, 도 10에서는, DoS/DDoS 공격이 중단된 제1 프록시 서버(30)는 대기 모드로 전환된 것을 보여주고 있다. 즉, 제1 프록시 서버(30)는 자신의 트래픽 상태를 확인하고, 트래픽이 기준 트래픽보다 낮아져 안정되면, 트래픽 상태 보고를 통해 GSLB(20)에게 현재 트래픽을 통보하고, GSLB(20)에서는 제1 프록시 서버(30)를 대기 모드로 전환하도록 하고, 추후 발생하는 IP 단말(10)의 도메인 네임 변환 요청에 대응하여 제1 프록시 서버(30)의 주소를 반환하게 된다.
여기서는, 프록시 서버가 3개 준비되어 있는 상태를 설명하고 있으나, 2개의 프록시 서버만이 구비된 시스템에서는, 제2 프록시 서버(32)에 DoS/DDoS 공격이 발 생한 경우에, 제1 프록시 서버의 상태를 활성 모드로 전환한 후 제1 프록시 서버에 대한 IP 주소를 반환하도록 할 수도 있다.
다음, 도 11 및 도 12는, 본 발명의 또다른 실시예에 따른 서비스 거부/분산 서비스 거부 공격 유도 시스템의 동작 및 작용에 대하여 설명한다.
여기에서는, 적어도 3개 이상의 프록시 서버(30,32, 33)가 병렬로 연결되어 있으며, GSLB(20)는 IP 단말(10)에 대하여 2개 이상의 활성 모드의 프록시 서버(30, 32)에 대한 IP 주소를 반환하는 구성으로 한다. 이때, 적어도 하나의 프록시 서버(30)는 대기 모드로 설정되어 대기하도록 하는 것이 바람직하다.
이러한 구성에서, 어떠한 IP 단말(10)로부터 도메인 네임 변환 요청이 접수되면, GSLB(20)는 활성 모드로 설정되어 있는 복수의 프록시 서버(예를 들면, 제1 프록시 서버 및 제2 프록시 서버)(30, 32)에 대한 각각의 IP 주소를 동시에 IP 단말(10) 측으로 전송한다.
이때, 상기 IP 단말(10)이 제공된 IP 주소를 통해 DoS/DDoS 공격을 시도하게 되면, IP 주소가 전송된 복수의 프록시 서버(30, 32)가 자신의 상태를 GSLB에 통보하게 된다. GSLB(20)는 공격받고 있는 프록시 서버(30, 32)를 공격 유도 모드로 설정하도록 한다. 그리고 이어지는 또다른 IP 단말(10)로부터 도메인 네임 변환 요청이 입력되면, 이 IP 단말(10)로는 대기 모드인 프록시 서버(33)의 IP 주소를 반환하여 주게 된다.
이와 같은 실시예에 의하면, DoS/DDoS 공격이 없는 평상시에는 복수의 프록시 서버를 효율적으로 이용할 수 있어 정상 단말에 대하여 최적의 서비스를 제공할 수 있다는 장점을 갖지만, DoS/DDoS 공격이 발생한 상황에서는 다수의 공격자 단말에 의한 다중 DoS/DDoS 공격이 발생한다면 모든 프록시 서버가 공격받을 수도 있다는 단점이 존재할 수 있다.
한편, 본 발명의 또다른 실시예에 따른 서비스 거부/분산 서비스 거부 공격 유도 시스템에 있어서는, 상술한 바와 같은 모든 실시예에 있어서, GSLB를 다중화하는 구성을 개시한다(별도의 도면에 의한 도시는 생략함).
즉, 예를 들어, 두 개의 GSLB를 병렬로 연결하고, 각 GSLB를 우선권(예를 들면, Primary/Secondary)을 부여한 후, 프록시 서버의 우선권에 따라 도메인 네임 변환 요청에 응답하여 도메인 네임 변환을 수행하도록 함으로써, GSLB에 부여되는 트래픽의 폭주를 방지하고 또한 어느 하나의 프록시 서버의 손상에 대해서 유연한 대응이 가능하게 되므로, 웹 네트워크의 안정화를 도모할 수 있다.
이때, 각각의 GSLB는 내용의 동기화가 필요한데, 이는 어떠한 GSLB가 IP 단말에 대하여 응답하더라도, 동일한 프록시 서버의 IP 주소를 반환할 수 있도록 하기 위함이다. 더욱, 이렇게 각각의 GSLB를 동기화시킴으로써, 각각의 GSLB가 서로 다른 프록시 서버의 IP 주소를 공격 단말에 반환함으로써 DoS/DDoS 공격이 다수의 프록시 서버에 발생하게 되는 것을 방지할 수도 있게 된다.
도 1은, 본 발명의 일 실시예에 따른 서비스 거부/분산 서비스 거부(DOS/DDOS) 공격 유도 시스템을 나타낸 블록도이다.
도 2는, 본 발명의 일 실시예에 따른 서비스 거부/분산 서비스 거부 공격 유도 시스템에 있어서, 각 요소의 상세한 구성을 설명하기 위한 도면이다.
도 3 및 도 4는, DoS/DDoS 공격이 발생하지 않은 상태에서 시스템의 동작을 설명하기 위한 구성도 및 신호 흐름도이다.
도 5 및 도 6은, DoS/DDoS 공격이 발생한 상태에서 시스템의 동작을 설명하기 위한 구성도 및 신호 흐름도이다.
도 7 및 도 8은, DoS/DDoS 공격이 발생한 경우, 이후에 발생하는 또다른 IP 단말에 대한 서비스를 제공하는 동작을 설명하는 도면이다.
도 9 및 도 10은, 공격자 단말이 어느 하나의 프록시 서버를 공격한 후, 또다른 프록시 서버를 공격하는 상황 및 이에 대한 처리를 설명하기 위한 도면이다.
도 11 및 도 12는, 본 발명의 또다른 실시예에 따른 서비스 거부/분산 서비스 거부 공격 유도 시스템의 구성 및 동작을 설명하기 위한 도면이다.

Claims (9)

  1. 도메인 네임 변환 요청을 전송하는 적어도 하나의 IP 단말과,
    상기 도메인 네임 변환 요청에 포함된 도메인 네임을 관련된 IP 주소로 변환하고, 상기 변환된 IP 주소를 상기 IP 단말로 반환하는 GSLB과, 및
    상기 IP 주소의 대상으로서, 다양한 컨텐츠를 구비하고, 상기 IP 주소를 대상으로 하는 상기 IP 단말로부터의 컨텐츠 제공 요청에 대응하여 요청된 컨텐츠를 제공하는 IP 호스트를 포함하여 이루어지는 웹 네트워크에 있어서,
    상기 IP 단말과 상기 IP 호스트 사이에서 상기 IP 호스트의 전단에 배치되며, 상기 IP 호스트가 구비하는 컨텐츠 중 적어도 일부를 저장하는 웹캐시를 구비하고, 상기 GSLB에 자신의 IP 주소 및 자신의 트래픽 상태를 나타내는 트래픽 상태 보고를 전송하고, 상기 IP 호스트를 대상으로 하는 상기 컨텐츠 제공 요청을 수신하면 상기 IP 호스트를 대신하여 상기 웹캐시에 저장된 컨텐츠를 제공하는 기능을 수행하는, 서로 병렬 연결된 복수의 프록시 서버;를 더 포함하고,
    상기 GSLB는, 복수의 상기 IP 단말 중의 어느 하나 또는 복수인 제1 IP 단말로부터 상기 IP 호스트에 대한 도메인 네임 변환 요청을 수신하면, 상기 제 IP 단말로 상기 복수의 프록시 서버 중의 어느 하나인 제1 프록시 서버에 대한 IP 주소를 반환하고,
    상기 제1 프록시 서버로부터, 상기 제1 IP 단말을 발신지로 하는 소정의 기준 트래픽을 초과하는 과도한 트래픽이 발생했음을 나타내는 트래픽 상태 보고를 수신한 경우에 있어서,
    상기 제1 IP 단말과는 다른 하나 또는 복수의 제2 IP 단말로부터 상기 IP 호스트에 대한 도메인 네임 변환 요청을 수신하면, 상기 GSLB는 상기 제2 IP 단말에 대해서 상기 제1 프록시 서버와는 다른 제2 프록시 서버에 대한 IP 주소를 반환하는 것을 특징으로 하는 서비스 거부/분산 서비스 거부 공격 유도 시스템.
  2. 제1항에 있어서,
    상기 GSLB는,
    상기 IP 단말로부터 상기 도메인 네임 변경 요청을 수신할 때마다 또는 일정 시간마다 상기 복수의 프록시 서버로 트래픽 상태를 보고하도록 하는 트래픽 상태 보고 요청을 상기 복수의 프록시 서버 각각으로 전송하는 것을 특징으로 하는 서비스 거부/분산 서비스 거부 공격 유도 시스템.
  3. 제1항에 있어서,
    상기 프록시 서버는,
    상기 GSLB로부터 전송되는 트래픽 상태 보고 요청에 대응하여, 또는 트래픽이 상기 기준 트래픽을 초과할 때마다, 또는 일정 시간마다, 상기 GSLB 측으로 상기 트래픽 상태 보고를 전송하는 것을 특징으로 하는 서비스 거부/분산 서비스 거부 공격 유도 시스템.
  4. 제1항에 있어서,
    상기 GSLB는, 상기 프록시 서버로부터 지속적으로 상기 트래픽 상태 보고를 수신하고, 상기 트래픽 상태 보고에 기초하여 상기 프록시 서버의 트래픽 상태가 상기 기준 트래픽 이하로 안정된 것으로 판정되면, 상기 프록시 서버를 컨텐츠 제공 기능을 수행가능한 준비 프록시 서버로 설정하는 것을 특징으로 하는 서비스 거부/분산 서비스 거부 공격 유도 시스템.
  5. 제1항에 있어서,
    상기 프록시 서버는,
    과도한 트래픽의 원인을 파악하는 기능을 더 포함하고,
    DDoS 공격에 의해 과도한 트래픽이 발생한 경우, DDoS 공격 경보를 상기 트래픽 상태 보고에 포함하여 상기 GSLB 측으로 전송하는 것을 특징으로 하는 서비스 거부/분산 서비스 거부 공격 유도 시스템.
  6. 제1항 내지 제5항 중 어느 한 항에 있어서,
    상기 프록시 서버는, 과도한 트래픽이 발생하면, 상기 IP 호스트와의 접속을 종료하고, 구비한 웹캐시에 저장된 컨텐츠만으로 상기 IP 단말의 컨텐츠 제공 요청에 대응하는 것을 특징으로 하는 서비스 거부/분산 서비스 거부 공격 유도 시스템.
  7. 도메인 네임 변환 요청을 전송하는 적어도 하나의 IP 단말과, 상기 도메인 네임 변환 요청에 관련된 IP 주소를 상기 IP 단말로 반환하는 GSLB과, 상기 IP 단말로 다양한 컨텐츠를 제공하는 IP 호스트와, 상기 IP 호스트의 전단에 배치되며 상기 IP 호스트를 대행하는 기능을 수행하고 서로 병렬 연결된 복수의 프록시 서버를 포함하여 이루어지는 웹 네트워크 중 상기 GSLB에 의한 서비스 거부/분산 서비스 거부 공격 유도 방법으로서:
    상기 복수의 프록시 서버에 대한 각각의 IP 주소를 유지하는 단계;
    복수의 상기 IP 단말 중의 어느 하나 또는 복수인 제1 IP 단말로부터 상기 IP 호스트에 대한 도메인 네임 변환 요청을 수신하는 단계;
    상기 복수의 프록시 서버 중의 어느 하나인 제1 프록시 서버에 대한 IP 주소를 상기 제1 IP 단말로 반환하는 단계;를 포함하고,
    상기 GSLB가 상기 제1 프록시 서버로부터 상기 제1 IP 단말을 발신지로 하는 소정의 기준 트래픽을 초과하는 과도한 트래픽이 발생했음을 감지한 경우에 있어서, 상기 제1 IP 단말과는 다른 하나 또는 복수의 제2 IP 단말로부터 상기 IP 호스트에 대한 도메인 네임 변환 요청을 수신하면,
    상기 제2 IP 단말에 대해서 상기 제1 프록시 서버와는 다른 제2 프록시 서버에 대한 IP 주소를 반환하는 단계;를 더 포함하는 것을 특징으로 하는 서비스 거부/분산 서비스 거부 공격 유도 방법.
  8. 제7항에 있어서,
    상기 GSLB는, 상기 IP 단말로부터 상기 도메인 네임 변경 요청을 수신할 때 마다 또는 일정 시간마다 상기 복수의 프록시 서버로 자신의 트래픽 상태를 보고하도록 하는 트래픽 상태 보고 요청을 상기 복수의 프록시 서버 각각으로 전송하고, 상기 트래픽 상태 보고 요청에 대응하여 상기 복수의 프록시 서버로부터 전송되는 상기 트래픽 상태 보고를 수신하는 것을 특징으로 하는 서비스 거부/분산 서비스 거부 공격 유도 방법.
  9. 제7항에 있어서,
    상기 프록시 서버는, 상기 GSLB로부터 전송되는 트래픽 상태 보고 요청에 대응하여, 또는 트래픽이 상기 기준 트래픽을 초과할 때마다, 또는 일정 시간마다, 상기 GSLB 측으로 상기 트래픽 상태 보고를 전송하는 것을 특징으로 하는 서비스 거부/분산 서비스 거부 공격 유도 방법.
KR1020090067757A 2009-07-24 2009-07-24 서비스 거부/분산 서비스 거부 공격 유도 시스템 및 서비스 거부/분산 서비스 거부 공격 유도 방법 KR100920739B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090067757A KR100920739B1 (ko) 2009-07-24 2009-07-24 서비스 거부/분산 서비스 거부 공격 유도 시스템 및 서비스 거부/분산 서비스 거부 공격 유도 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090067757A KR100920739B1 (ko) 2009-07-24 2009-07-24 서비스 거부/분산 서비스 거부 공격 유도 시스템 및 서비스 거부/분산 서비스 거부 공격 유도 방법

Publications (1)

Publication Number Publication Date
KR100920739B1 true KR100920739B1 (ko) 2009-10-07

Family

ID=41572114

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090067757A KR100920739B1 (ko) 2009-07-24 2009-07-24 서비스 거부/분산 서비스 거부 공격 유도 시스템 및 서비스 거부/분산 서비스 거부 공격 유도 방법

Country Status (1)

Country Link
KR (1) KR100920739B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011099773A2 (ko) * 2010-02-10 2011-08-18 주식회사 유섹 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템 및 그 방법
KR101072984B1 (ko) * 2010-02-10 2011-10-12 주식회사 유섹 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템 및 그 방법
KR101112150B1 (ko) * 2011-05-06 2012-02-22 주식회사 비씨클라우드 디도스 공격 상황에서 세션 유지 시스템
US20210126941A1 (en) * 2013-12-20 2021-04-29 Telefonaktiebolaget Lm Ericsson (Publ) Method for Providing a Connection Between a Communications Service Provider and an Internet Protocol, IP, Server, Providing a Service, as well as a Perimeter Network, Comprising the IP Server, and an IP Server Providing the Service

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001086167A (ja) 1999-09-13 2001-03-30 Kenwood Corp ネットワークシステム、通信端末及び通信方法
KR20020020397A (ko) * 2000-09-08 2002-03-15 정규석 Wap 게이트웨이 시스템에서 다중 프록시 서버 시스템연결방법
KR20050002337A (ko) * 2003-06-30 2005-01-07 주식회사 케이티 프락시 서버, 그리고 이를 이용한 동적 dns 서비스시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001086167A (ja) 1999-09-13 2001-03-30 Kenwood Corp ネットワークシステム、通信端末及び通信方法
KR20020020397A (ko) * 2000-09-08 2002-03-15 정규석 Wap 게이트웨이 시스템에서 다중 프록시 서버 시스템연결방법
KR20050002337A (ko) * 2003-06-30 2005-01-07 주식회사 케이티 프락시 서버, 그리고 이를 이용한 동적 dns 서비스시스템 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Vern Paxson, "An analysis of using reflectors for distributed denial-of-service attacks," ACM SIGCOMM Computer Communication Review, Volume 31, Issue 3, Pages: 38 - 47, 2001.

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011099773A2 (ko) * 2010-02-10 2011-08-18 주식회사 유섹 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템 및 그 방법
KR101072984B1 (ko) * 2010-02-10 2011-10-12 주식회사 유섹 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템 및 그 방법
WO2011099773A3 (ko) * 2010-02-10 2011-12-15 주식회사 유섹 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템 및 그 방법
KR101112150B1 (ko) * 2011-05-06 2012-02-22 주식회사 비씨클라우드 디도스 공격 상황에서 세션 유지 시스템
WO2012153948A2 (ko) * 2011-05-06 2012-11-15 주식회사 비씨클라우드 디도스 공격 상황에서 세션 유지 시스템
WO2012153948A3 (ko) * 2011-05-06 2013-03-21 주식회사 비씨클라우드 디도스 공격 상황에서 세션 유지 시스템
US20210126941A1 (en) * 2013-12-20 2021-04-29 Telefonaktiebolaget Lm Ericsson (Publ) Method for Providing a Connection Between a Communications Service Provider and an Internet Protocol, IP, Server, Providing a Service, as well as a Perimeter Network, Comprising the IP Server, and an IP Server Providing the Service
US11838317B2 (en) * 2013-12-20 2023-12-05 Telefonaktiebolaget Lm Ericsson, (Publ) Method for providing a connection between a communications service provider and an internet protocol, IP, server, providing a service, as well as a perimeter network, comprising the IP server, and an IP server providing the service

Similar Documents

Publication Publication Date Title
CN110677379B (zh) 用于阻止、检测和/或防止恶意流量的方法和设备
CN110855633B (zh) Ddos攻击的防护方法、装置、系统、通信设备和存储介质
US7120934B2 (en) System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network
US10979387B2 (en) Systems and methods for utilization of anycast techniques in a DNS architecture
EP2612488B1 (en) Detecting botnets
US7908368B2 (en) Method and apparatus for redirecting data traffic based on external switch port status
WO2010064799A2 (en) Countering against distributed denial-of-service (ddos) attack using content delivery network
JP2008066945A (ja) 攻撃検出システム及び攻撃検出方法
CN101674306B (zh) 地址解析协议报文处理方法及交换机
JP2014517593A (ja) 遮断サーバを用いたスプーフィング攻撃に対する防御方法
CN108092940B (zh) 一种dns的防护方法及相关设备
KR100920739B1 (ko) 서비스 거부/분산 서비스 거부 공격 유도 시스템 및 서비스 거부/분산 서비스 거부 공격 유도 방법
CN110708385A (zh) 一种基于网络延时的cdn调度算法及系统
CN112311907A (zh) 一种arp请求响应方法、负载均衡设备及相关装置
US20040243843A1 (en) Content server defending system
CN103546439B (zh) 内容请求的处理方法及装置
JP6476530B2 (ja) 情報処理装置、方法およびプログラム
CN114710388A (zh) 一种校园网安全架构及网络监护系统
Cisco Server Load Balancing Commands
KR101379803B1 (ko) 비정상 트래픽 분산 시스템 및 이를 이용한 비정상 트래픽 분산 방법
CN101436926B (zh) 一种在p2p网络中防止攻击的方法、网络节点及系统
KR101099083B1 (ko) 네트워크 자원 관리 시스템 및 그 관리 방법
KR20150049821A (ko) 서버 및 이를 이용한 부하 분산 방법
JP2014150504A (ja) ネットワーク監視装置、ネットワーク監視方法、および、コンピュータ・プログラム
KR20180115883A (ko) 서버 보안을 위한 트래픽 우회 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120928

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20130930

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140930

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150930

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170919

Year of fee payment: 9