KR100950900B1 - 분산서비스거부 공격 방어방법 및 방어시스템 - Google Patents

분산서비스거부 공격 방어방법 및 방어시스템 Download PDF

Info

Publication number
KR100950900B1
KR100950900B1 KR1020070114875A KR20070114875A KR100950900B1 KR 100950900 B1 KR100950900 B1 KR 100950900B1 KR 1020070114875 A KR1020070114875 A KR 1020070114875A KR 20070114875 A KR20070114875 A KR 20070114875A KR 100950900 B1 KR100950900 B1 KR 100950900B1
Authority
KR
South Korea
Prior art keywords
traffic
attack
distributed service
server
service denial
Prior art date
Application number
KR1020070114875A
Other languages
English (en)
Other versions
KR20090048819A (ko
Inventor
이종현
김영곤
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020070114875A priority Critical patent/KR100950900B1/ko
Priority to PCT/KR2008/006673 priority patent/WO2009064114A2/en
Publication of KR20090048819A publication Critical patent/KR20090048819A/ko
Application granted granted Critical
Publication of KR100950900B1 publication Critical patent/KR100950900B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Abstract

본 발명은 서비스거부 공격에 대한 방어방법, 좀더 자세하게는, 네트워크 상에서 분산서비스거부 공격이 발생하는 경우 다단계 대응을 통하여 상기 공격을 방어하는 방법에 관한 것이다. 본 발명에서 설명한 분산서비스거부 공격에 대한 방어 방법에 따르면 분산서비스거부 공격이 발생한 경우에 첫 번째 단계로 비정상 트래픽과 정상 트래픽을 판단하여 필터링 함으로써 서버의 가용성을 보장해주고 두 번째 단계로 공격자가 있는 대역을 선별하여 트래픽을 제한함으로써 정상적인 사용자의 접속을 보장한다. 현재의 트래픽만을 가지고 판단하는 것이 아니라 과거의 정상적인 트래픽 데이터를 분석하여 판단하기 때문에 정상적인 시스템이 많은 트래픽을 발생시키더라도 공격 트래픽 대역과 구별되어 차단되지 않는다.
분산서비스거부 공격, 비정상 트래픽

Description

분산서비스거부 공격 방어방법 및 방어시스템{Protection Method and System for Distributed Denial of Service Attack}
본 발명은 서비스거부 공격에 대한 방어방법, 좀더 자세하게는, 네트워크 상에서 분산서비스거부 공격이 발생하는 경우 다단계 대응을 통하여 상기 공격을 방어하는 방법에 관한 것이다.
분산서비스거부공격(DDoS Attack,Distributed Denial of Service Attack)은 네트워크 자원이나 내부 시스템의 자원을 고갈시켜 정상적인 사용자가 원하는 서비스를 제공받지 못하게 하는 공격이다. 현재 다양한 공격 도구가 공개되어 있기 때문에 누구라도 해당 공격 도구를 이용하여 손쉽게 분산서비스거부 공격을 할 수 있는 실정이며, 상대적으로 대상 시스템에 대한 피해 정도는 심한 편이다. 따라서 이러한 분산서비스거부 공격을 방어하는 기술이 많이 사용되고 있다.
그러나 분산서비스거부 공격을 방어하는 많은 기술들이 단순히 유입되는 트래픽을 제한하는 정도로 그치고 있기 때문에 정상적인 트래픽과 공격 트래픽을 분류하여 처리하는 기술은 미비한 실정이다.
분산서비스거부 공격은 TCP 프로토콜의 연결확립을 이용한 공격과 단순 트래픽을 폭주시키는 공격으로 나누어진다. TCP 프로토콜의 연결확립을 이용한 공격 유형은 대표적으로 TCP Flooding Attack이 있으며, 이것은 TCP를 사용하여 통신을 시도할 때에 이루어지는 3way handshaking을 이용한 것이다.
3way-handshaking이란, 우선, 클라이언트가 접속하고자 하는 서버의 포트 번호와 초기순서번호(ISN, Initial Sequence Number)를 지정한 SYN 패킷을 보내면, 다음으로 서버가 클라이언트에게 서버의 초기순서 번호와 클라이언트의 ISN+1을 포함한 SYN-ACK 패킷을 보내고, 이에 따라 클라이언트는 서버로부터 온 SYN-ACK패킷에 대하여 ACK 패킷으로 응답하는 것을 말한다. 이러한 3단계의 과정을 통해서 TCP 연결이 확립된다. TCP 연결확립을 이용한 공격은 마지막 3번째의 과정을 생략하고 많은 SYN 패킷만을 서버로 전송함으로써 서버가 연결에 사용하는 버퍼(Backlog)를 모두 소진하여 더 이상의 연결을 만들 수 없는 상태로 만드는 공격이다.
단순히 트래픽을 폭주시키는 방법을 사용하는 공격은 대용량의 UDP 패킷이나 ICMP 패킷을 전송하는 공격 그리고 정상적인 HTTP 요구를 대용량으로 발생시키는 공격(F5 공격, 사이버 시위) 등이 있다. ICMP(Internet Control Message Protocol) 공격은 대량의 ICMP Echo 패킷을 보내는 형태의 공격으로 Ping Flooding, Smurf Attack 등이 이에 해당한다.
이러한 DoS 공격을 차단하기 위한 종래의 기술은 TCP 프로토콜의 서버 측 알고리즘을 개선하거나 트래픽 량을 조절하는 것이 있다. TCP 프로토콜의 서버 측 알 고리즘을 개선하는 방법은 TCP의 연결확립에 대한 알고리즘을 개선함으로써 스푸핑(Spoofing)된 Client IP를 구별해 주거나 올바르지 않은 연결시도를 차단해 준다. 하지만 정상적인 TCP 연결이 폭주할 경우(F5 공격) 등의 공격은 막을 수 없는 기술이다.
분산서비스거부 공격을 방어하기 위해서는 분산서비스공격을 탐지하는 단계와 탐지된 공격으로부터 공격을 분석하여 방어하는 단계로 크게 나뉘게 된다. 분산서비스거부 공격에 대한 탐지는 일반적으로 통신에 대한 임계치를 바탕으로 이루어진다. 좀더 구체적으로 살펴보면, 각 네트워크 상황에 맞게 허용할 수 통신(또는 트래픽)에 대한 임계치를 미리 지정하거나 동적으로 결정한 다음 네트워크를 지나는 모든 통신을 모니터링하고 있다가 임계치가 넘었는지를 검사한다. 이때 허용된 임계치를 초과하고 또한 유입되는 트래픽의 출발지 주소가 여러 곳으로 분산되어 있을 경우 분산서비스거부 공격으로 판단한다.
분산서비스거부 공격으로 판단이 되면 일반적으로 공격을 당하는 시스템으로 전송되는 트래픽의 양을 조절하거나, 특정 서비스에 대한 트래픽의 양을 조절하는 방식으로 분산서비스거부 공격에 대응하는 것이 일반적이다. 하지만 분산서비스거부 공격은 많은 공격 클라이언트들이 특정 대상 서버로 공격하는 집중된 트래픽 폭주이기 때문에 정상 클라이언트와 공격 클라이언트의 구분이 어렵고 최대 허용 대역폭을 정하더라도 대부분의 정상 클라이언트의 트래픽 또한 차단되는 문제점이 있 다. 따라서 분산서비스거부 공격은 그 공격유형으로 볼 때 단순히 트래픽을 제한하는 방법으로는 효과적으로 차단할 수 없을 뿐만 아니라 정상적인 서비스도 제한받게 되는 문제점이 발생할 수 있다.
본 발명은 분산서비스거부 공격에 대해 효과적으로 방어하기 위한 방법을 제공하는데 목적이 있다. 구체적으로 본 발명의 목적은 분산서비스거부 공격으로 판단되었을 때 정상 트래픽과 비정상 트래픽을 효과적으로 분류하고 공격당하는 시스템으로 유입되는 트래픽을 네트워크 대역을 나누어 선별적으로 트래픽을 제한하는 방법 및 시스템 제공하는 데 있다.
이와 같은 목적을 위해서는 우선 네트워크 대역을 나누어 대역별로 정상적인 트래픽을 저장한다. 공격이라 판단되면 이 데이터를 바탕으로 대역별로 기존의 트래픽과 비교하여 갑자기 폭주한 네트워크 대역들을 찾아서 해당 대역에만 일정 값 이하로 트래픽을 제한하는 것이다.
본 발명인 분산서비스거부 공격을 방어하는 방법은, 서버를 향하는 트래픽의 출발지 IP를 대역에 따라 구획으로 나누는 단계와 상기 서버를 향하는 트래픽을 검사하여 분산서비스거부 공격을 탐지하고 공격대상 서버를 판단하는 단계와 상기 공격대상 서버에 대하여 소정의 값을 초과하는 트래픽이 발생하는 구획에 대하여 트래픽을 제한하는 필터링 단계를 포함하여 구성된다. 상기 소정의 값은 분산서비스거부 공격이 없는 상태를 기준으로 하여 미리 지정된 고정 값으로 하거나 또는 분산서비스거부 공격에 대한 방어에 적합하도록 동적으로 계산된 값을 사용할 수 있다. 공격대상 서버는 하나가 될 수도 있고, 2개 이상이 될 수도 있다.
상기 트래픽의 출발지 IP를 대역에 따라 구획으로 나누는 단계는, 광대역에 따라 주구획(Main-Segment)으로 나누고 주구획에 대하여 협대역에 따라 보조구획(Sub-Segment)으로 나누는 2단계 이상의 구획으로 나누어서 수행될 수 있다. 즉, DDoS 공격이 의심되고 비정상이라고 판단되는 주구획 대역을 찾아서 보조구획 대역으로 다시 세분화하여 필터링을 할 수 있으며, 공격지의 IP 대역이 광범위하여 특정 보조구획 대역으로 분류하여 방어할 수 없을 경우 주구획 대역별로 필터링을 수행할 수 있다.
상기 분산서비스거부 공격을 탐지하고 공격대상 서버를 판단하는 단계 후에, 상기 공격대상 서버에 대한 트래픽을 정상 트래픽과 비정상 트래픽으로 분류하여 비정상 트래픽을 제한하는 필터링을 하는 단계를 더 포함할 수도 있다. 여기서는, SYN 쿠키를 사용하여 정상응답 여부를 판단하여 비정상 요청(Spooging)을 필터링한다.
서버에 대하여 분산서비스거부 공격을 방어하는 시스템은 상기 서버를 향하는 트래픽을 검사하여 분산서비스거부 공격을 탐지하고 공격대상 서버를 판단하는 공격탐지부와 상기 공격대상 서버에 대하여 소정의 값을 초과하는 트래픽이 발생하는 구획에 대하여 트래픽을 제한하는 필터링을 하는 트래픽 제한부를 포함하여 구성된다. 상기 공격대상 서버에 대한 트래픽을 정상 트래픽과 비정상 트래픽으로 분류하여 비정상 트래픽을 차단하여 필터링하는 트래픽 차단부를 더 포함할 수 있다.
본 발명에서 설명한 분산서비스거부 공격에 대한 방어 방법에 따르면 분산서비스거부 공격이 발생한 경우에 첫 번째 단계로 비정상 트래픽과 정상 트래픽을 판단하여 필터링 함으로써 서버의 가용성을 보장해주고 두 번째 단계로 공격자가 있는 대역을 선별하여 트래픽을 제한함으로써 정상적인 사용자의 접속을 보장한다. 현재의 트래픽만을 가지고 판단하는 것이 아니라 과거의 정상적인 트래픽 데이터를 분석하여 판단하기 때문에 정상적인 시스템이 많은 트래픽을 발생시키더라도 공격 트래픽 대역과 구별되어 차단되지 않는다.
도 1은 분산서비스거부 공격을 방어하기 위한 네트워크 구성도이다. 내부망(120)은 일반적인 라우터(121)와 스위치(122)와 내부 시스템(123)으로 구성이 되며 외부망(110)은 일반적인 인터넷(111) 및 공격자 컴퓨터(112)와 공격자 컴퓨터(112)를 포함하여 공격에 사용되는 공격지(또는 출발지)(113)로 구성될 수 있다. 그리고 분산서비스거부 공격을 방어할 시스템(130)이 라우터와 스위치 사이에 존재한다.
인터넷을 통해 공격자가 출발지 주소를 임의의 주소로 변조하여 공격 대상 시스템으로 분산서비스거부 공격을 수행한다. 이때 분산서비스거부 공격을 방어할 시스템이 해당 공격을 탐지하고 방어하는 기능을 수행한다.
도 2는 본 발명의 구성도이다. 본 발명은 하드웨어 장비 내에서 다른 기능과 연계되어 구성될 수 있다. 한 예로 일반 또는 전용 운영체제로 구성된 커널, 해당 커널 위에서 동작하는 방화벽(Firewall), 침입방지시스템(IPS, Intrusion Prevention System), VPN(Virtual Private Network) 기능, 그리고 다양한 응용 프로그램과 연관된 어플리케이션 프록시(Application Proxy) 기능을 들 수 있다. 본 발명인 분산서비스거부 공격을 방어하는 기능은 침입방지시스템(IPS) 기능에 포함된다.
본 발명인 분산서비스거부 공격 방어시스템의 구성은 DDoS 공격을 탐지하는 공격탐지부와 DDoS 공격으로 판단되는 트래픽을 제한하는 공격차단부로 구성되며, 공격차단부는 정상적인 요청과 비정상적인 요청을 구분하고 필터링하기 위한 SYN 쿠키를 사용한 스푸핑 트래픽 차단부, 네트워크 단위로 공격을 방어하기 위한 대역별 트래픽 제한부를 포함한다.
도 3은 본 발명에서 제공하는 분산서비스거부 공격에 대한 방어 흐름을 나타낸 것이다. 우선 서버를 향하는 트래픽의 출발지 IP를 대역에 따라 구획으로 나누어 방어 시스템을 갖춘다(310). 공격탐지부에서는 분산서비스거부 공격으로 의심되는 상황을 판단하여 공격대상이 되는 서버의 IP를 판단한다(320). 이 판단은 미리 지정된 임계치 또는 자동으로 설정된 임계치에 따라 이루어진다. 분산서비스거부 공격으로 판단이 되면 해당 정보를 공격차단부로 전달한다. 공격차단부에서는 한꺼번에 해당 공격을 처리하는 것이 아니고 공격 상황을 좀더 면밀히 분석하는 과정을 수행한다. 먼저 공격을 당하는 시스템으로 유입되는 트래픽을 분석하여 정상 트래픽과 비정상 트래픽을 분류하는 과정을 수행한다(330)(도 4 참조). 그리고 비정상 트래픽으로 판단된 네트워크 및 정상 트래픽이지만 트래픽이 과도한 네트워크에 대 해서는 대역별 트래픽 제한을 수행한다(340, 350). 보조구획(Sub-Segment) 필터링에 의한 트래픽 제한과 주구획(Main-Segment) 필터링에 의한 트래픽 제한을 순차적 또는 택일적으로 수행한다(도 5 참조).
분산서비스거부 공격에 대한 탐지는 일반적으로 통신에 대한 임계치를 바탕으로 이루어진다. 좀더 구체적으로 살펴보면, 각 네트워크 상황에 맞게 허용할 수 통신에 대한 임계치를 미리 지정하거나 동적으로 결정한 다음 네트워크를 지나는 모든 통신을 모니터링하고 있다가 임계치가 넘었는지를 검사한다. 이때 허용된 임계치를 초과하고 또한 유입되는 트래픽의 출발지 주소가 여러 곳으로 분산되어 있을 경우 분산서비스거부 공격으로 판단한다.
도 4은 SYN 쿠키를 사용하여 정상 트래픽과 비정상 트래픽을 분류하는 흐름을 나타낸 것이다. SYN 쿠키를 사용함으로써, 스푸핑 필터링을 수행하게 된다. 정상 트래픽과 비정상 트래픽을 분류하기 위해서는 현재 외부에서 들어오는 트래픽이 실제 출발지 주소에서 전송했는지를 판단해야 한다. 이를 위해서 TCP 통신을 위한 첫 패킷(SYN 패킷)이 수신되었을 때 이를 내부 시스템으로 전달하지 않고 대신 응답 패킷(SYN/ACK 패킷)을 만들어 출발지 주소로 전달한다. 이때 필요한 쿠키 정보를 생성하여 응답 패킷에 넣어 전송함으로써 최종적으로 출발지 주소에서 응답이 왔을 때 정상 응답 여부를 검증할 수 있다. 정상 응답을 보낸 출발지 주소는 정상 주소로 판단하여 정상적인 서비스를 보장해 준다.
패킷을 수신하게 되면 SYN 패킷인지 여부를 검사한다. 만약 외부로 나가는 SYN 패킷이라면 해당 패킷은 SYN 쿠키를 통하지 않고 외부로 전송한다. 만약 외부 에서 들어온 SYN 패킷이라면 세션 테이블을 검사하여 해당 세션을 검색한다. 만약 해당 세션을 검색하지 못한다면 SYN 쿠키를 통해 해당 요청을 처리하고 세션을 생성한다.
도 5는 대역별 트래픽 제한을 위한 처리 흐름을 나타낸 것이다. 도 3에 나타난 단계를 통하여 처리할 수 있는 한계를 넘어설 경우 또는 정상적인 TCP연결이나 UDP, ICMP 패킷의 폭주일 경우 도 4에 나타난 단계가 수행된다.
Segment는 상위-Class 단위의 주구획(Main-Segment)과 다시 이를 하위-Class단위로 나눈 보조구획(Sub-Segment)으로 이루어진다. 예로, 32bit IPv4 주소 중 65535개의 주구획은 16bit만을 Index로 사용하고 256개의 보조구획은 Main Index 이하 8bit만을 사용하여 분류한다.
즉 192.168.0.0~192.168.255.255 사이의 모든 패킷은 같은 주구획에 속하며 192.168.0.0~192.168.0.255 사이의 패킷은 같은 보조구획에 속하게 된다. 이는 IPv4의 모든 주소를 분류하여 정적으로 관리할 수 있게 된다. 이 관리체계는 IPv4 뿐만 아니라 다른 네트워크 주소체계를 사용할 경우에도 마찬가지로 적용될 수 있다.
주구획의 대역별로 평상시의 정상적인 트래픽을 업데이트 한다. 공격이라 판단되면 대역별로 현재의 트래픽을 정상적인 트래픽과 비교하여 갑자기 폭주한 대역들을 찾는다. 이후 이 대역을 다시 보조구획으로 나누고 각각의 보조구획 대역별로 트래픽 량을 조사하여 폭주하고 있는 대역들을 찾아 일정 수준 이하로 트래픽을 제한한다. 이러한 방식으로 갑자기 폭주한 보조구획 대역을 정확히 선별하여 트래픽 을 제한함으로써 다른 대역에서 정상적으로 접속하는 사용자에 대한 서비스를 보장해 준다.
공격의 범위가 전체 네트워크에 골고루 퍼져있을 경우 즉 공격지(Source) IP가 임의로 변조된 공격중에 장비가 처리할 수 있는 한계를 넘어간 경우는 IP대역이 광범위하게 분산된다. 이럴 경우 보조구획 필터링에서 처리할 수 있는 한계(메모리 및 부하)를 벗어나게 되므로 주구획별로 트래픽을 제한한다. 여기서 트래픽의 제한, 즉, 필터링은 초당 트래픽을 제한하는 것을 의미한다.
도 6은 분산서비스거부 공격대상인 타겟 서버가 보호되는 과정을 나타내는 흐름도이다. 분산서비스거부 공격의 대상이 되는 서버가 기존에 이미 추가된 타겟이라면 중복호출회수의 제한 여부를 검사한다. 중복호출회수가 정해진 최대값 이상이라면 주구획의 최대접속량(Max Hit Count)을 감소시켜 패킷의 차단을 강화한다. 공격의 대상이 되는 서버가 타겟 리스트에 없는 새로운 타겟이거나 또는 중복호출회수의 제한 여부 검사 결과 중복호출회수가 정해진 최대값 미만일 경우 주구획 리스트를 검색한다. 한편 공격의 대상이 되는 서버가 타겟 리스트에 없는 새로운 타겟이라면, 주구획 리스트를 검색하기 전에 그 서버를 새로이 타겟 리스트에 등록한다. 주구획 리스트에서 공격이라 판단되는 구획을 검색하고 그 구획이 기존의 공격지에 해당되는 경우 보조구획 최대접속량(Max Hit Count)를 감소시킨다. 상기 구획이 기존의 공격지에 해당되지 않는 경우에는, 이미 공격지로 등록된 주구획의 수를 확인하여, 최대값 이상이면 주구획 제한만 추가(주구획 필터링 적용)하고, 최대값 미만이면 해당 주구획에 보조구획 제한도 추가(보조구획 필터링 적용)한다.
도 7은 구획 필터링의 패킷 흐름도이다. TCP의 경우 TCP-SYN 패킷의 타겟이 되는 서버의 IP를 검색하여 패킷이 타겟 서버로 향하는 것이라고 판단되면, 보조구획 필터링 또는 주구획 필터링을 적용할지 결정된다. 주구획 필터링이 적용되는 패킷이라면 Max Hit-Count에 따라 주구획 필터링을 실행한다. 보조구획 필터링이 적용된다면, 패킷에 해당하는 보조구획이 공격지인지 아닌지를 확인한다. 공격지일 경우 유효성 검사시간을 확인하여 필터링이 유효한 시간인 것으로 확인되면 해당 보조구획 리스트에서 현재 공격중인 보조구획을 찾아서 보조구획 필터링을 실행한다. 공격지로 향하는 패킷이 아니라면 해당 구획의 최대접속량(Max Hit Count)을 갱신한 후에 패킷을 통과시킨다.
도 1은 분산서비스거부(DDoS) 공격에 대한 방어를 위한 네트워크 구성도,
도 2는 본 발명의 구성도,
도 3은 DDoS 공격에 대한 방어 단계 또는 시스템의 구성도,
도 4는 SYN 쿠키 처리 흐름도,
도 5는 구획 필터링 처리 흐름도,
도 6은 공격대상 서버의 추가 및 보호 과정을 나타낸 흐름도,
도 7은 구획 필터링 패킷 흐름도이다.

Claims (6)

  1. 서버에 대하여 분산서비스거부 공격을 방어하는 방법에 있어서,
    서버를 향하는 트래픽의 출발지를 대역에 따라 구획으로 나누되 광대역에 따라 주구획으로 나누고 주구획에 대하여 협대역에 따라 보조구획으로 나누는 2단계 이상의 구획으로 나누는 단계와,
    상기 서버를 향하는 트래픽을 검사하여 분산서비스거부 공격을 탐지하고 공격대상 서버를 판단하는 단계와,
    상기 공격대상 서버에 대하여 소정의 값을 초과하는 트래픽이 발생하는 구획에 대하여 트래픽을 제한하는 필터링 단계를
    포함하여 구성되는 분산서비스거부 공격 방어방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 분산서비스거부 공격을 탐지하고 공격대상 서버를 판단하는 단계 후,
    상기 공격대상 서버에 대한 트래픽을 정상 트래픽과 비정상 트래픽으로 분류하여 비정상 트래픽을 제한하는 필터링 단계를
    더 포함하는 것을 특징으로 하는 분산서비스거부 공격 방어방법.
  4. 제1항 또는 제3항에 있어서,
    상기 소정의 값은 분산서비스거부 공격이 없는 상태를 기준으로 하여 도출되는 것을 특징으로 하는 분산서비스거부 공격 방어방법.
  5. 서버에 대하여 분산서비스거부 공격을 방어하는 시스템에 있어서,
    서버를 향하는 트래픽을 검사하되 상기 서버를 향하는 트래픽의 출발지를 광대역에 따라 주구획으로 나누고 주구획에 대하여 협대역에 따라 보조구획으로 나누는 2단계 이상의 구획으로 나누어 검사하여 분산서비스거부 공격을 탐지하고 공격대상 서버를 판단하는 공격탐지부와,
    상기 공격대상 서버에 대하여 소정의 값을 초과하는 트래픽이 발생하는 구획에 대하여 트래픽을 제한하는 필터링을 하는 트래픽 제한부를
    포함하여 구성되는 분산서비스거부 공격 방어시스템.
  6. 제5항에 있어서,
    상기 공격대상 서버에 대한 트래픽을 정상 트래픽과 비정상 트래픽으로 분류하여 비정상 트래픽을 차단하는 필터링을 하는 트래픽 차단부를
    더 포함하는 것을 특징으로 하는 분산서비스거부 공격 방어시스템.
KR1020070114875A 2007-11-12 2007-11-12 분산서비스거부 공격 방어방법 및 방어시스템 KR100950900B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070114875A KR100950900B1 (ko) 2007-11-12 2007-11-12 분산서비스거부 공격 방어방법 및 방어시스템
PCT/KR2008/006673 WO2009064114A2 (en) 2007-11-12 2008-11-12 Protection method and system for distributed denial of service attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070114875A KR100950900B1 (ko) 2007-11-12 2007-11-12 분산서비스거부 공격 방어방법 및 방어시스템

Publications (2)

Publication Number Publication Date
KR20090048819A KR20090048819A (ko) 2009-05-15
KR100950900B1 true KR100950900B1 (ko) 2010-04-06

Family

ID=40639310

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070114875A KR100950900B1 (ko) 2007-11-12 2007-11-12 분산서비스거부 공격 방어방법 및 방어시스템

Country Status (2)

Country Link
KR (1) KR100950900B1 (ko)
WO (1) WO2009064114A2 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8914878B2 (en) 2009-04-29 2014-12-16 Juniper Networks, Inc. Detecting malicious network software agents
KR101042226B1 (ko) * 2009-08-13 2011-06-16 이니텍(주) 화이트 리스트를 모니터링하는 네트워크 필터와 더미 웹 서버를 이용한 분산서비스거부 공격 차단 방법
US8789173B2 (en) * 2009-09-03 2014-07-22 Juniper Networks, Inc. Protecting against distributed network flood attacks
WO2011099773A2 (ko) * 2010-02-10 2011-08-18 주식회사 유섹 분산 서비스 거부 공격에 대한 공격 트래픽 방어 시스템 및 그 방법
GB2494384B (en) 2011-08-31 2013-07-24 Metaswitch Networks Ltd Handling potentially malicious communication activity
US9531749B2 (en) 2014-08-07 2016-12-27 International Business Machines Corporation Prevention of query overloading in a server application

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040057257A (ko) * 2002-12-26 2004-07-02 한국과학기술정보연구원 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
KR100608136B1 (ko) 2005-02-18 2006-08-08 재단법인서울대학교산학협력재단 티씨피 연결의 스테이트풀 인스펙션에 있어서의 보안성능향상방법
EP1705863A1 (en) * 2005-03-25 2006-09-27 AT&T Corp. Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
KR100773006B1 (ko) * 2004-07-09 2007-11-05 인터내셔널 비지네스 머신즈 코포레이션 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8201252B2 (en) * 2002-09-03 2012-06-12 Alcatel Lucent Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks
JP2004248185A (ja) * 2003-02-17 2004-09-02 Nippon Telegr & Teleph Corp <Ntt> ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
JP2006164038A (ja) * 2004-12-09 2006-06-22 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040057257A (ko) * 2002-12-26 2004-07-02 한국과학기술정보연구원 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
KR100773006B1 (ko) * 2004-07-09 2007-11-05 인터내셔널 비지네스 머신즈 코포레이션 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법
KR100608136B1 (ko) 2005-02-18 2006-08-08 재단법인서울대학교산학협력재단 티씨피 연결의 스테이트풀 인스펙션에 있어서의 보안성능향상방법
EP1705863A1 (en) * 2005-03-25 2006-09-27 AT&T Corp. Method and apparatus for traffic control of dynamic denial of service attacks within a communications network

Also Published As

Publication number Publication date
WO2009064114A2 (en) 2009-05-22
KR20090048819A (ko) 2009-05-15
WO2009064114A3 (en) 2009-07-02

Similar Documents

Publication Publication Date Title
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US9060020B2 (en) Adjusting DDoS protection based on traffic type
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
KR100663546B1 (ko) 악성 봇 대응 방법 및 그 시스템
US8819821B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
US7478429B2 (en) Network overload detection and mitigation system and method
US7882556B2 (en) Method and apparatus for protecting legitimate traffic from DoS and DDoS attacks
US9749340B2 (en) System and method to detect and mitigate TCP window attacks
US20200137112A1 (en) Detection and mitigation solution using honeypots
US20180091547A1 (en) Ddos mitigation black/white listing based on target feedback
KR101231975B1 (ko) 차단서버를 이용한 스푸핑 공격 방어방법
US20160294871A1 (en) System and method for mitigating against denial of service attacks
WO1999048303A2 (en) Method for blocking denial of service and address spoofing attacks on a private network
KR100950900B1 (ko) 분산서비스거부 공격 방어방법 및 방어시스템
US8006303B1 (en) System, method and program product for intrusion protection of a network
KR20110026926A (ko) 분산서비스거부 공격의 차단 방법
Mopari et al. Detection and defense against DDoS attack with IP spoofing
KR20200109875A (ko) 유해 ip 판단 방법
KR20030009887A (ko) 서비스거부 공격 차단시스템 및 방법
Goncalves et al. WIDIP: Wireless distributed IPS for DDoS attacks
Piskozub Denial of service and distributed denial of service attacks
Thang et al. Synflood spoofed source DDoS attack defense based on packet ID anomaly detection with bloom filter
KR20070079785A (ko) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법
EP2109279B1 (en) Method and system for mitigation of distributed denial of service attacks using geographical source and time information
Bojjagani et al. Early DDoS Detection and Prevention with Traced-Back Blocking in SDN Environment.

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130326

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140326

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160328

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170327

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180326

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190326

Year of fee payment: 10