KR100961831B1 - 도메인 리버스 매핑 장치 및 방법 - Google Patents

도메인 리버스 매핑 장치 및 방법 Download PDF

Info

Publication number
KR100961831B1
KR100961831B1 KR1020090039731A KR20090039731A KR100961831B1 KR 100961831 B1 KR100961831 B1 KR 100961831B1 KR 1020090039731 A KR1020090039731 A KR 1020090039731A KR 20090039731 A KR20090039731 A KR 20090039731A KR 100961831 B1 KR100961831 B1 KR 100961831B1
Authority
KR
South Korea
Prior art keywords
address
reverse mapping
client
mapping data
domain
Prior art date
Application number
KR1020090039731A
Other languages
English (en)
Inventor
윤성진
박한규
Original Assignee
윤성진
박한규
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 윤성진, 박한규 filed Critical 윤성진
Priority to KR1020090039731A priority Critical patent/KR100961831B1/ko
Application granted granted Critical
Publication of KR100961831B1 publication Critical patent/KR100961831B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

클라이언트가 로컬 네임서버를 이용하여 도메인 주소를 IP 주소로 변환하는 과정에서 사용되는 DNS 메시지를 검출하여 이를 바탕으로 리버스 매핑 데이터를 구축하고, 구축된 데이터를 이용하여 IP 주소를 도메인 주소로 리버스 매핑하는 장치 및 방법이 개시된다.
이를 위하여, 본 발명에 따른 도메인 리버스 매핑 장치는 클라이언트가 로컬 네임서버를 이용하여 도메인 주소를 IP 주소로 변환하는 과정에서 사용되는 DNS 메시지를 검출하고, 상기 검출된 DNS 메시지로부터 클라이언트가 IP 주소로 변환을 요청한 도메인 주소와 상기 도메인 주소에 대응하는 적어도 하나 이상의 IP 주소를 포함하는 주소 매핑 데이터를 추출하고, 상기 주소 매핑 데이터를 포함하는 IP 주소를 도메인 주소로 변환하기 위해 필요한 리버스 매핑 데이터를 수집하는 리버스 매핑 데이터 수집부; 상기 리버스 매핑 데이터 수집부에서 수집된 리버스 매핑 데이터를 컴퓨터의 기억장치에 저장하는 리버스 매핑 데이터 저장부; 상기 리버스 매핑 데이터 저장부에 저장된 리버스 매핑 데이터를 이용하여 IP 주소를 도메인 주소로 변환하는 리버스 매핑 기능을 제공하는 리버스 매핑부를 포함한다.
이에 의하여, 클라이언트가 외부의 원격 호스트와 통신하는 것을 모니터링하는 네트워크 방화 시스템, 네트워크 감사 시스템 등에서 클라이언트가 통신하는 원격 호스트의 IP 주소를 그에 대응하는 도메인 주소로 정확하게 리버스 매핑할 수 있게 된다.
도메인 네임 시스템, DNS, 네임서버, 리버스 매핑, 도메인 주소, IP 주소, 리소스 레코드

Description

도메인 리버스 매핑 장치 및 방법{System and method for domain reverse mapping}
본 발명은 IP 주소를 도메인 주소로 변환하는 장치 및 방법에 관한 것으로, 보다 상세하게는 클라이언트가 로컬 네임서버를 이용하여 도메인 주소를 IP 주소로 변환하는 과정에서 사용되는 DNS 메시지를 검출하여 리버스 매핑 데이터를 구축하고, 상기 리버스 매핑 데이터를 이용하여 IP 주소를 도메인 주소로 변환하는 장치 및 방법에 관한 것이다.
인터넷(Internet)에는 수많은 호스트가 연결되어 있으며, 이 호스트들에는 각 호스트를 유일하게 식별할 수 있는 IP 주소가 할당되어 있다. 컴퓨터는 숫자로 이루어진 IP 주소를 이용하여 상대 호스트를 식별하지만, 사람은 숫자로 이루어진 IP 주소만을 이용하여 자신이 원하는 호스트를 식별하기가 용이하지 않다. 따라서 사람이 기억하기 쉬운 문자로 구성된 도메인 주소를 호스트에 할당하고, 사람은 응용 프로그램으로 이 도메인 주소를 입력하면 응용 프로그램은 로컬 네임서버를 이용하여 상기 도메인 주소를 IP 주소로 변환하고, 변환된 IP 주소를 이용하여 특정 호스트를 식별하게 된다.
상기의 예와 같이 사람이 기억하기 쉬운 도메인 주소를 IP 주소로 변환하는 것을 포워드 매핑(forward mapping)이라고 하며, 도메인 네임 시스템(DNS; Domain Name System)의 주요한 기능이 이 포워드 매핑이다. 인터넷 상에서 응용 서비스를 제공하는 서버라면 반드시 포워드 매핑이 가능하도록 도메인 네임 시스템이 설정되어 있어야 한다. 만약 포워드 매핑이 가능하도록 도메인 네임 시스템이 설정되어 있지 않다면 사람이 도메인 주소를 이용하여 해당 서버를 접속할 수 없게 된다.
반면, 때로는 IP 주소를 도메인 주소로 역변환하는 경우도 있는데, 이것을 리버스 매핑(reverse mapping)이라고 한다. 리버스 매핑은 포워드 매핑과 달리 필수적으로 설정을 할 필요는 없다. 리버스 매핑을 설정하지 않아도 사람이 도메인 주소를 이용하여 해당 서버를 접속하는 데에는 문제가 없으며, 오히려 보안상의 이유로 리버스 매핑을 일부러 설정하지 않는 경우도 많다.
리버스 매핑은 원격 서버로 접속하는 일반적인 클라이언트 응용 프로그램에서 사용되기보다는, 주어진 IP 주소를 이에 대응하는 도메인 주소로 역변환해야 하는 특수한 목적의 소프트웨어 및 시스템에서 사용된다. 대표적인 예로 근거리 네트워크(LAN)에 설치되는 네트워크 방화 시스템 및 네트워크 감사 시스템 등이 있을 수 있다.
LAN에 설치되는 네트워크 방화 시스템은 외부에서 유해한 트래픽이 LAN 내부로 유입되는 것을 차단함과 동시에, LAN 내부의 컴퓨터가 유해한 외부 서버로 접속하는 것을 차단하는 역할을 수행한다. 유해한 외부 서버는 유해한 웹사이트일 수도 있고, 사용자의 이익과 의사에 반하여 설치된 악성 프로그램이 개인 정보를 외부로 누출시키기 위한 외부 서버일 수도 있다. 이러한 네트워크 방화 시스템은 클라이언트와 외부 인터넷 사이에 구비되어 클라이언트가 인터넷 상에 존재하는 외부 서버로 접속을 시도할 때 이를 감지하여 차단 및 허용 정책을 수행한다. 이때 네트워크 방화 시스템은 통상적으로 외부 서버로 접속을 시도하는 응용 프로그램과 분리된 프로세스(process) 혹은 분리된 장비이기 때문에, 네트워크 방화 시스템이 클라이언트의 통신 시도를 감지했을 때 획득할 수 있는 정보는 클라이언트의 IP 주소와 포트 번호, 클라이언트가 접속하려는 서버의 IP 주소와 포트 번호 정도로 한정된다. 네트워크 방화 시스템은 주어진 클라이언트와 서버의 IP 주소 및 포트 번호만으로 허용 및 차단 정책을 수행할 수도 있지만, 클라이언트가 접속하려는 서버의 실제 도메인 주소를 이용하면 좀 더 세부적인 허용 및 차단 정책을 수행하는 것이 가능하므로, 이를 위해 리버스 매핑을 사용한다.
LAN에 설치되는 네트워크 감사 시스템은 LAN에 위치한 컴퓨터의 통신 내역을 기록하고, 외부로 개인정보나 기업의 기밀이 유출되는 것을 감사(auditing)한다. 네트워크 감사 시스템도 네트워크 방화 시스템과 마찬가지로 클라이언트와 외부 인터넷 사이에 구비되어 클라이언트가 인터넷 상에 존재하는 외부 서버로 접속하려는 시도를 감지하고 그 내역을 기록한다. 이 네트워크 감사 시스템도 클라이언트가 외부로 접속하려는 것을 감지하는 시점에서 획득할 수 있는 정보는 클라이언트의 IP 주소와 포트 번호, 클라이언트가 접속하려는 서버의 IP 주소와 포트 번호로 한정된다. 따라서 클라이언트가 접속한 서버의 주소를 기록할 때 서버의 주소를 숫자로 구성된 IP 주소로 저장하기보다는 도메인 주소로 저장하면 사람이 이해하기 쉬우므 로, 이를 위해 리버스 매핑을 사용한다.
종래 기술에 의한 리버스 매핑 과정을 도 12를 참조하여 설명한다. 도 12는 종래기술에 따른 리버스 매핑 과정을 설명하기 위한 블록도이다. IP 주소를 이에 대응하는 도메인 주소로 변환하고자 하는 리버스 매핑 클라이언트(510)는 로컬 네임서버(520)에게 리버스 매핑 질의를 한다. 이때 도메인 주소로 변경하고자 하는 IP 주소가 208.77.188.166이라면 로컬 네임서버로는 166.188.77.208.in-addr.arpa. 주소로 질의를 한다. 로컬 네임서버(520)는 리버스 매핑 요청을 받아 리버스 매핑을 수행한다. 이때 루트 네임서버(530)에게 먼저 질의를 하고, 루트 네임서버(530)가 반환하는 리퍼럴(referral)을 이용하여 208.in-addr.arpa. 네임서버(540)로 질의를 하고, 다시 208.in-addr.arpa. 네임서버(540)가 반환하는 리퍼럴을 이용하여 188.77.208.in-addr.arpa. 네임서버(550)로 질의를 하고, 188.77.208.in-addr.arpa. 네임서버(550)는 208.77.188.166 주소에 대응하는 도메인 주소인 www.example.com을 답변으로 반환해준다. 이때 로컬 네임서버(520)는 상기 답변을 리버스 매핑 클라이언트(510)에게 되돌려주고 리버스 매핑 과정은 종료가 된다.
상기 종래 기술에 의한 리버스 매핑의 문제점은 다음과 같다.
먼저 특정 호스트의 리버스 매핑이 설정되어 있지 않은 경우에는 IP 주소를 이용하여 이에 대응하는 도메인 주소를 변환할 방법이 전혀 없다는 문제점이 있다. 보안상의 이유 등으로 리버스 매핑이 설정되어 있지 않는 경우가 이에 해당한다.
다른 문제점으로는, 하나의 IP 주소를 가지는 하나의 물리적 호스트가 여러 개의 도메인 주소로 서비스를 제공하는 경우, 네트워크 방화 시스템이나 네트워크 감사 시스템 등이 획득한 서버의 IP 주소를 클라이언트가 접속하려고 했던 서버의 도메인 주소로 정확히 리버스 매핑하는 것이 불가능하다는 점이다.
하나의 물리적 서버 내에 다양한 도메인 주소로 서비스되는 논리적 서버를 포함하고 있는 서버를 예시한 도 13을 참조하면, 하나의 물리적 서버(600)에는 각기 다른 도메인 주소로 서비스되는 웹서버(610, 620), 메일서버(630), FTP 서버(640) 및 악의적인 목적으로 개인정보를 수집하는 악성 개인정보 수집 서버(650)가 존재할 수 있다.
상기와 같은 상황에서 클라이언트와 서버 사이에 구비된 네트워크 방화 시스템을 이용하여 LAN 상의 컴퓨터가 상기 물리적 호스트(600)에서 서비스 중인 웹서버(610, 620), 메일서버(630), FTP 서버(640)로의 접속은 허용하되, 악성 개인정보 수집 서버(650)로의 접속만 구분하여 차단하는 것은 불가능하다. 클라이언트와 서버 사이에 구비되어 클라이언트가 서버로 접속을 시도할 때 이를 감지하는 네트워크 방화 시스템은 클라이언트와 같은 컴퓨터 내에서 드라이버 형태로 구현되었을 수도 있으며, 클라이언트와 분리된 장비로 구현되어 상기 장비에서 IP(internet protocol) 계층의 트래픽을 모니터링함으로써 구현되었을 수도 있다. 어느 형태로 구현되었든 네트워크 방화 시스템이 클라이언트가 외부 서버로 접속하는 것을 감지하였을 시점에 클라이언트가 접속하려는 외부 서버에 대해 획득할 수 있는 정보는 서버의 IP 주소, 포트 번호, 그리고 전송 계층 프로토콜(TCP 혹은 UDP) 정도로 한정된다. 따라서, 이 경우에는 네트워크 방화 시스템이 주어진 서버의 IP 주소를 이용하여 리버스 매핑을 시도하더라도 하나의 IP 주소로 서비스되는 다수의 도메인 주소가 반환되기 때문에 클라이언트가 접속을 시도한 논리적 서버의 이름을 정확히 파악하는 것은 불가능하게 된다.
부언하면, 상기의 예에서 네트워크 방화 시스템이 클라이언트의 서버 접속을 감지했을 때 수집한 서버의 포트 번호로 어느 정도 클라이언트가 접속하려는 서비스 및 논리적 서버의 도메인 주소를 추측할 수는 있지만, 서버의 포트 번호는 서버 관리자에 의해 용이하게 변경될 수 있다는 것을 당업자는 자명하게 알 수 있을 것이며, 따라서 포트 번호로 클라이언트가 접속하는 서비스 및 논리적 서버의 도메인 주소를 추측하는 것은 근본적인 해결책이 될 수 없다.
또 다른 문제점으로는, 종래 기술에 의한 리버스 매핑은 도 12를 참조하여 설명한 것과 같이 복잡한 질의 과정을 거쳐 수행되며 이 과정에서 로컬 네임서버를 비롯한 여러 네임서버에 부하가 발생되고, 여러 네임서버들간 데이터를 교환하는 시간이 다소 소요되는 문제점이 있다.
본 발명은 상기 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 네트워크 방화 시스템이나 네트워크 감사 시스템 등을 이용하여 클라이언트가 원격 호스트로 접속하는 것을 감지하였을 때 획득한 원격 호스트의 IP 주소를 클라이언트가 원격 호스트로 접속을 시도할 때 사용한 도메인 주소로 정확히 리버스 매핑하는 장치 및 방법을 제공하는 데 그 목적이 있다.
상기와 같은 목적을 달성하기 위한 본 발명은 IP 주소를 도메인 주소로 변환하는 도메인 리버스매핑 장치로서, 클라이언트가 로컬 네임서버를 이용하여 도메인 주소를 IP 주소로 변환하는 과정에서 사용되는 DNS 메시지를 검출하고, 상기 검출된 DNS 메시지로부터 클라이언트가 IP 주소로 변환을 요청한 도메인 주소와 상기 도메인 주소에 대응하는 적어도 하나 이상의 IP 주소를 포함하는 주소 매핑 데이터를 추출하고, 상기 주소 매핑 데이터를 포함하는 IP 주소를 도메인 주소로 변환하기 위해 필요한 리버스 매핑 데이터를 수집하는 리버스 매핑 데이터 수집부; 상기 리버스 매핑 데이터 수집부에서 수집된 리버스 매핑 데이터를 컴퓨터의 기억장치에 저장하는 리버스 매핑 데이터 저장부; 상기 리버스 매핑 데이터 저장부에 저장된 리버스 매핑 데이터를 이용하여 IP 주소를 도메인 주소로 변환하는 리버스 매핑 기능을 제공하는 리버스 매핑부를 포함하는 것을 특징으로 한다.
또한, 상기와 같은 목적을 달성하기 위한 본 발명은 IP 주소를 도메인 주소 로 변환하는 도메인 리버스 매핑 방법으로서, 클라이언트가 로컬 네임서버를 이용하여 도메인 주소를 IP 주소로 변환하는 과정에서 사용되는 DNS 메시지를 검출하고, 상기 검출된 DNS 메시지로부터 클라이언트가 IP 주소로 변환을 요청한 도메인 주소와 상기 도메인 주소에 대응하는 적어도 하나 이상의 IP 주소를 포함하는 주소 매핑 데이터를 추출하고, 상기 주소 매핑 데이터를 포함하는 IP 주소를 도메인 주소로 변환하기 위해 필요한 리버스 매핑 데이터를 수집하고, 상기 수집된 리버스 매핑 데이터를 컴퓨터의 기억 장치에 저장하는 리버스 매핑 데이터 수집 단계; 상기 리버스 매핑 데이터 수집 단계에서 수집된 리버스 매핑 데이터를 이용하여 IP 주소를 도메인 주소로 변환하는 리버스 매핑을 수행하는 리버스 매핑 단계를 포함하는 것을 특징으로 한다.
본 발명의 도메인 리버스 매핑 장치 및 방법에 따르면, 네트워크 방화 시스템이나 네트워크 감사 시스템 등을 이용하여 클라이언트가 원격 호스트로 접속하는 것을 감지하였을 때 획득한 원격 호스트의 IP 주소를 클라이언트가 원격 호스트로 접속을 시도할 때 사용한 도메인 주소로 정확히 리버스 매핑할 수 있다. 특히 클라이언트가 접속하려는 원격 호스트의 리버스 매핑이 설정되어 있지 않거나, 동일한 IP 주소를 공유하는 다수의 도메인 주소가 하나의 물리적 서버 내에 존재하는 경우에도 주어진 원격 호스트의 IP 주소를 클라이언트가 접속을 시도할 때 사용한 도메인 주소로 정확히 리버스 매핑할 수 있다. 또한 도메인 리버스 매핑의 속도도 향상시킬 수 있다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여, 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
도 1은 본 발명의 바람직한 실시예에 따른 도메인 매핑 장치를 나타내는 블록도이다.
도 1을 참조하면, 클라이언트(210)는 www.example.com과 같은 도메인 주소를 이용하여 원격 호스트(미도시)로 네트워크 접속을 시도하는 응용 프로그램 혹은 그러한 응용 프로그램을 탑재한 컴퓨터 시스템을 의미하며, 그 구체적 예로는 웹서버로 접속하여 웹페이지를 수신하는 웹브라우저 등이 있을 수 있다.
로컬 네임서버(220)는 클라이언트(210)가 도메인 주소를 IP 주소로 변환할 때 기본적으로 사용하도록 설정되어 있는 네임서버를 의미한다. 로컬 네임서버는 클라이언트(210) 컴퓨터의 사용자가 수동으로 설정할 수도 있으며, DHCP 서버를 이용하여 자동으로 설정되도록 할 수도 있다.
도메인 리버스 매핑 장치(100)는 클라이언트(210)가 로컬 네임서버(220)를 이용하여 도메인 주소를 IP 주소로 변환하는 과정에서 사용되는 DNS 메시지를 검출하여 이를 바탕으로 리버스 매핑 데이터를 구축하고, 구축된 데이터를 이용하여 IP 주소를 도메인 주소로 변환하는 리버스 매핑을 수행한다. 도메인 리버스 매핑 장치(100)는 클라이언트(210)와 물리적으로 동일한 컴퓨터 내에서 구현될 수도 있으며, 클라이언트(210)와 물리적으로 분리된 독립적인 장비로 구현될 수도 있다. 또한 일부만 클라이언트(210)와 물리적으로 동일한 컴퓨터 내에서 구현되고, 나머지 일부는 클라이언트(210)와 물리적으로 분리된 독립적인 장비로 구현될 수도 있다.
리버스 매핑 클라이언트(230)는 IP 주소를 도메인 주소로 변환하기를 원하는 소프트웨어 및 시스템이며, 그 예로는 네트워크 방화 시스템, 네트워크 감사 시스템, 네트워크 트래픽 제어 시스템 등이 있을 수 있다.
먼저 클라이언트(210)가 도메인 주소를 이용하여 원격 호스트(미도시)로 접속하는 일반적인 과정을 살펴보면, 클라이언트(210)는 먼저 주어진 도메인 주소를 로컬 네임서버(220)을 이용하여 해당 도메인 주소에 대응하는 IP 주소로 변환한다. 이 포워드 매핑 과정이 성공적으로 완료되면, 클라이언트(210)는 주어진 도메인 주소에 대응하는 IP 주소를 얻게 되고, 그 IP 주소를 이용하여 원격 호스트로 접속한다. 클라이언트(220)는 이러한 포워드 매핑을 하기 위해 gethostbyname()과 같은 소켓 함수를 사용한다. gethostbyname()은 로컬 네임서버(220)로 DNS 질의 메시지를 보내고, 로컬 네임서버(220)는 이에 대한 DNS 응답 메시지를 보냄으로써 이 과정을 수행한다. 클라이언트(210)와 로컬 네임서버(220) 간의 DNS 질의 및 응답은 UDP를 이용하여 수행되는 것이 보통이지만 TCP를 이용하는 것도 가능하다. 또한 일반적으로 네임서버는 53번 포트를 이용하여 DNS 서비스를 제공한다. 클라이언트(210)는 네임서버로부터 반환된 IP 주소를 connect()와 같은 소켓 함수의 입력 파라미터로 전달하여 원격 호스트(미도시)로 접속을 한다.
도메인 리버스 매핑 장치(100)는 IP 주소를 도메인 주소로 변환하기 위해 필요한 데이터를 수집하는 리버스 매핑 데이터 수집부(110), 상기 리버스 매핑 데이터 수집부(110)에서 수집된 데이터를 저장하는 리버스 매핑 데이터 저장부(130), 상기 리버스 매핑 데이터 저장부(130)에 저장된 데이터를 이용하여 IP 주소를 도메인 주소로 변환하는 리버스 매핑부(120)을 포함한다.
리버스 매핑 데이터 수집부(110)는 클라이언트(210)와 로컬 네임서버(220) 간의 포워드 매핑 과정에서 사용되는 DNS 메시지를 검출하는 DNS 메시지 검출부(111), 상기 검출된 DNS 메시지로부터 주소 매핑 데이터를 추출하는 주소 매핑 데이터 추출부(112)를 포함하며, 더 바람직하게는 상기 클라이언트(220)을 고유하게 식별할 수 있는 식별자를 추출하는 클라이언트 식별자 추출부(113), 상기 DNS 메시지 검출부(111)에서 로컬 네임서버(220)와 교환되는 DNS 메시지만을 선별적으로 검출할 수 있도록 로컬 네임서버(220)의 주소를 추출하는 로컬 네임서버 주소 추출부(114)를 더 포함한다.
DNS 메시지 검출부(111)는 클라이언트(210)와 로컬 네임서버(220) 사이에 구비되어, 포워드 매핑 과정에서 사용되는 DNS 메시지를 검출한다. 클라이언트(210)와 로컬 네임서버(220) 사이에 교환되는 DNS 메시지를 검출하기 위해서는 클라이언 트(210)에서 원격 호스트의 53번 포트로 전송되거나, 원격 호스트의 53번 포트에서 클라이언트(210)로 전송되는 패킷을 검출한다. 일반적으로 DNS 서비스는 UDP를 통하여 제공되므로 UDP를 통하여 전송되는 패킷만 선별적으로 검출할 수도 있다. 상기 과정에서 검출된 DNS 메시지 중, 포워드 매핑에 사용된 DNS 메시지만 선별하기 위해서는 메시지의 내용을 조사하면 된다. 도 5, 도 6, 도 7을 참조하면, 도 5는 DNS 메시지의 포맷을 도시한 도면이고, 도 6은 상기 DNS 메시지 포맷(300) 중 헤더 섹션의 포맷을 도시한 도면이고, 도 7은 상기 DNS 메시지 포맷(300)의 질의 섹션의 포맷을 도시한 도면이다. 클라이언트(210)에서 로컬 네임서버(220)로 포워드 매핑을 위해 전송되는 DNS 질의 메시지를 선별하기 위해서는 상기 DNS 메시지 헤더 포맷(310)의 QR(Query-Response bit) 필드가 0이고, OPCODE 필드가 0이고, DNS 질의 포맷(320)의 QTYPE 필드가 1이고, QCLASS 필드가 1인지를 확인하면 된다. 로컬 네임서버(220)에서 클라이언트(210)로 전송되는 상기 DNS 질의 메시지에 대한 DNS 응답 메시지를 선별하기 위해서는 상기 DNS 메시지 헤더 포맷(310)의 QR 필드가 1이고, OPCODE 필드가 0이고, RCODE가 0이고, ANCOUNT 필드가 적어도 1 이상이고, DNS 질의 포맷(320)의 QTYPE 필드가 1이고, QCLASS 필드가 1인지를 확인하면 된다. 더 바람직하게는 상기 DNS 질의 메시지의 DNS 메시지 헤더 포맷(310) 중 ID 필드의 값이 상기 DNS 답변 메시지의 ID 필드의 값과 동일한지를 비교할 수도 있다. DNS 메시지 헤더 포맷(310)의 ID 필드를 이용하여 DNS 요청 메시지와 DNS 질의 메시지를 대조하는 이유는 악의적인 사용자가 클라이언트(210)가 요청하지 않은 DNS 질의 메시지에 대한 DNS 응답 메시지를 허위로 보내는 것을 걸러내기 위함이다. 만약 이러 한 검증 과정이 필요치 않다면 DNS 메시지 검출부(111)는 단지 DNS 응답 메시지만 검출하여도 무방하다. DNS 메시지 포맷은 RFC 1035에 자세히 공개되어 있다.
DNS 메시지 검출부(111)는 클라이언트(210)와 물리적으로 동일한 컴퓨터 내에서 구현될 수도 있으며, 클라이언트와 물리적으로 분리된 독립적인 장비에서 구현될 수도 있다.
DNS 메시지 검출부(111)를 클라이언트(210)와 물리적으로 동일한 컴퓨터 내에서 구현할 때에는 API 후킹이나 커널 모드 드라이버를 이용할 수 있다. 이와 관련하여 윈도우 XP 운영체제 환경 하에서 각 구현 방법을 설명한다.
API 후킹은 실행중인 프로세스가 호출하는 함수의 주소를 개발자가 만든 임의의 함수 주소로 대체함으로써 프로세스가 호출하는 함수의 파라미터를 모니터링하고 조작하거나 함수 호출의 결과를 모니터링하고 조작할 수 있는 방법을 말한다. API 후킹을 통해 DNS 메시지 검출부(111)를 구현하기 위해서는 WS2_32.DLL 모듈이 제공하는 gethostbyname(), getaddrinfo() 등의 포워드 매핑에 사용되는 함수를 후킹하면 된다. 응용 프로그램의 프로세스가 상기 함수들을 호출하면 후킹 함수 내에서 호출된 함수의 파라미터와 함수의 호출 결과를 모니터링함으로써 DNS 질의 및 DNS 응답을 검출할 수 있다.
커널 모드 드라이버를 통해 DNS 메시지 검출부(111)를 구현하기 위해서는 윈도우 운영체제가 제공하는 전송 계층 드라이버의 상단에 설치되어 DNS 메시지를 검출하는 필터 드라이버를 이용하면 된다. 좀 더 상세하게는 윈도우 운영체제가 제공하는 전송 계층 드라이버는 tcpip.sys이며, 이 드라이버는 오브젝트 매니저가 관리 하는 오브젝트 네임스페이스에 \Device\Tcp 및 \Device\Udp 디바이스를 생성한다. UDP로 교환되는 DNS 메시지를 검출하기 위해서는 \Device\Udp 디바이스의 상단에 필터 디바이스를 설치하면 되며, TCP로 교환되는 DNS 메시지를 검출하기 위해서는 \Device\Tcp 디바이스의 상단에 필터 디바이스를 설치하면 된다. 전송 계층 드라이버의 상단에 필터 드라이버를 설치하면 컴퓨터가 외부로 통신하는 모든 트래픽을 모니터링할 수 있게 되는데, 그 중에서 클라이언트로부터 원격 호스트의 53번 포트로 전송되는 트래픽과 원격 호스트의 53번 포트로부터 클라이언트로 전송되는 트래픽만을 검출하는 것이 바람직하다. 이 외에도 NDIS IM 드라이버 등을 이용하여 구현할 수도 있다.
DNS 메시지 검출부(111)를 클라이언트(210)와 물리적으로 독립된 장비로 구현할 때에는 적어도 2개 이상의 네트워크 인터페이스 카드(NIC; Network Interface Card)를 구비하고 투명한 브릿지로 작동되는 장비를 이용하여 DNS 메시지를 검출할 수 있다. 투명한 브릿지 형태의 장비를 이용하여 DNS 메시지를 검출할 때의 장점은, 클라이언트나 로컬 네임서버의 구성을 전혀 변경할 필요가 없이 양측 모두에게 투명하게 작동된다는 점이다. 리눅스(Linux)를 이용한 장비로 구현하는 경우의 예를 들어 좀 더 상세히 설명하면, 적어도 2개 이상의 NIC을 구비한 리눅스 시스템을 투명 브릿지 모드로 설정하고 클라이언트(210)와 로컬 네임서버(220) 사이에 구비한다. 그리고 리눅스 시스템 내에서 libpcap 라이브러리를 이용하여 클라이언트(210)에서 원격 호스트의 53번 포트로 전송되는 패킷과 원격 호스트의 53번 포트에서 클라이언트(210)로 전송되는 패킷을 검출한다. 일반적으로는 DNS는 주로 UDP 를 전송계층 프로토콜로 사용하므로 UDP 패킷만 캡춰하는 것으로도 충분하나, 경우에 따라서는 TCP 패킷도 캡춰할 수 있다. 리눅스 시스템을 이용한 상기 구현 예 이외에도 ISO의 OSI 참조모델에 따른 L7이 처리 가능한 네트워크 장비를 이용하여 구현하는 것도 가능하다.
상기 API 후킹, 커널 드라이버, libpcap 라이브러리를 이용한 패킷 캡춰는 당업자에게 널리 알려진 주지관용 기술이므로 이들의 구현과 관련된 더 상세한 설명은 생략한다.
로컬 네임서버 주소 추출부(114)는 클라이언트(210)가 DNS 레졸루션를 할 때 기본적으로 사용하도록 설정되어 있는 로컬 네임서버(220)의 주소를 추출한다. 클라이언트가 DNS 레졸루션을 할 때 기본적으로 사용되도록 설정되어 있는 로컬 네임서버는 하나 이상일 수 있으며, 따라서 로컬 네임서버 주소 추출부(114)가 추출하는 로컬 네임서버의 주소도 하나 이상일 수 있다. 또한, 로컬 네임서버 주소 추출부(114)를 이용하여 추출되는 로컬 네임서버(220)의 주소는 IPv4, IPv6 중 적어도 어느 하나의 형태로 표현될 수 있다. 로컬 네임서버(220)의 주소를 추출하는 이유는 DNS 메시지 검출부(111)가 좀 더 정확히 DNS 메시지만을 선별할 수 있도록 하기 위함이다. DNS 메시지 검출부(111)는 DNS 메시지를 검출할 때 네임서버가 사용하는 53번 포트를 DNS 메시지 검출 조건으로 사용함과 동시에 로컬 네임서버 주소 추출부(114)에서 추출한 로컬 네임서버의 주소와 일치하는 네임서버와 교환되는 DNS 메시지만 선별적으로 검출함으로써 DNS 메시지 검출부(111)의 정확도를 향상시킬 수 있다. 부언하면, 상기 DNS 메시지 검출부(111)가 상기 클라이언트(210)와 물리적으 로 동일한 컴퓨터 시스템 내에서 API 후킹 방식으로 구현된 경우에는 로컬 네임서버 주소 추출부(114)를 별도로 구비할 필요는 없다. 그 이유는 API 후킹을 하는 gethostbyname(), getaddrinfo()와 같은 함수는 기본적으로 로컬 네임서버의 주소를 자동으로 인식하여 항상 로컬 네임서버로만 질의를 하기 때문이다. 하지만, 커널 모드 드라이버의 형태나 독립된 장비로 DNS 메시지 검출부(111)가 구현되는 경우에는 로컬 네임서버 주소 추출부(114)를 구비하는 것이 바람직하다.
로컬 네임서버 주소 추출부(114)는 클라이언트와 동일한 컴퓨터 시스템 내에서 구현되는 것이 바람직하다. 윈도우 환경에서는 레지스트리를 조회함으로써 설정된 로컬 네임서버의 주소를 알 수 있으며, 좀 더 상세하게는 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\[인터페이스 이름] 레지스트리 키의 DhcpNameServer, NameServer 값을 조회함으로써 로컬 네임서버의 주소를 구할 수 있다. 리눅스 환경에서는 /etc/resolv.conf 파일을 읽어 로컬 네임서버의 주소를 구할 수 있다. 윈도우 환경에서 로컬 네임서버 정보가 저장된 레지스트리와 리눅스 환경에서 로컬 네임서버 정보가 저장된 /etc/resolv.conf 파일의 형식은 각각 MSDN 도움말과 man 페이지 등을 통해 상세히 공개되어 있는 주지관용 기술이므로, 이와 관련된 더 상세한 설명은 생략한다.
주소 매핑 데이터 추출부(112)는 상기 DNS 메시지 검출부(111)에서 검출된 DNS 메시지로부터 클라이언트가 IP 주소로 변환하기 위해 로컬 네임서버로 질의한 도메인 주소와 이에 대응하는 적어도 하나 이상의 IP 주소가 포함된 주소 매핑 데 이터를 추출한다. 클라이언트가 IP 주소로 변환하고자 하는 도메인 주소는 클라이언트(210)로부터 로컬 네임서버(220)로 전송되는 DNS 질의 메시지에서 검출할 수도 있으며, 로컬 네임서버(220)로부터 클라이언트(210)로 전송하는 DNS 답변 메시지로부터 검출할 수도 있다. 도 5를 참조하면 DNS 메시지 포맷(300)에는 질의 섹션이 있는데, 질의 섹션은 DNS 질의 메시지와 DNS 응답 메시지에 모두 동일한 값이 들어 있으며, 도 7을 참조하면 DNS 질의 포맷(320)의 QNAME 필드에 클라이언트가 IP 주소로 변환하고자 하는 도메인 주소가 들어 있다. 반면, 상기 도메인 주소에 대응하는 IP 주소는 반드시 DNS 응답 메시지에서 추출해야 한다. DNS 메시지 포맷(300)의 응답 섹션에 IP 주소가 기입되어 있으며 응답 섹션의 형식은 도 8의 리소스 레코드 포맷(330)과 같다. 이때 하나의 도메인 주소에 대응하는 IP 주소가 하나 이상인 경우에는 응답 섹션에 하나 이상의 리소스 레코드가 들어 있을 수도 있다. 따라서, 주소 매핑 데이터 추출부(112)가 추출하는 주소 매핑 데이터는 도메인 주소와 이에 대응하는 적어도 하나 이상의 IP 주소를 포함하게 된다.
클라이언트 식별자 추출부(113)는 클라이언트(210)를 고유하게 식별할 수 있는 다양한 식별자들을 추출한다. 클라이언트를 고유하게 식별할 수 있는 식별자를 추출하는 이유는 다수의 도메인 주소가 하나의 IP 주소로 매핑되어 있을 수 있으며, 이때 리버스 매핑 과정에서 리버스 매핑하려는 IP 주소와 함께 클라이언트 식별자를 검색 조건으로 이용하여 더 정확한 리버스 매핑 결과를 얻기 위함이다. 클라이언트를 고유하게 식별할 수 있는 식별자는, 프로세스 식별자, 쓰레드 식별자, 모듈 식별자, 호스트 식별자 등이 포함될 수 있다. 클라이언트 식별자 추출부(113) 는 DNS 메시지 검출부(111)가 DNS 메시지를 검출한 시점에서 상기 검출된 DNS 메시지와 연관된 정보로부터 클라이언트 식별자를 추출하는 것이 바람직하다. 또한, 프로세스 식별자, 쓰레드 식별자, 모듈 식별자를 추출하기 위해서는 클라이언트 식별자 추출부(113)가 클라이언트(210)와 물리적으로 동일한 컴퓨터 내에 구비되는 것이 바람직하다.
프로세스 식별자는 클라이언트를 프로세스 단위로 고유하게 식별할 수 있는 식별자로 프로세스 ID, 프로세스 핸들 등이 있을 수 있다. 프로세스 식별자를 구하기 위해 사용되는 함수의 예로는 GetCurrentProcessId(), GetCurrentProcess(), PsGetCurrentProcessId(), PsGetProcessId() 등이 있다.
쓰레드 식별자는 클라이언트를 쓰레드 단위로 고유하게 식별할 수 있는 식별자로 쓰레드 ID, 쓰레드 핸들 등이 있을 수 있다. 쓰레드 식별자를 구하기 위해 사용되는 함수의 예로는 GetCurrentThreadId(), GetCurrentThread(), PsGetCurrentThreadId(), PsGetThreadId() 등이 있다.
모듈 식별자는 클라이언트를 모듈(EXE, DLL 등) 단위로 고유하게 식별할 수 있는 식별자로 네트워크 통신을 시도한 모듈의 절대 경로나 핸들 등이 있을 수 있다. 모듈 식별자를 구하기 위해 사용되는 함수의 예로는 GetModuleHandle(), GetModuleFileName() 등이 있다.
호스트 식별자는 클라이언트를 호스트 단위로 고유하게 식별할 수 있는 식별자로 클라이언트의 IP 주소, MAC 주소, 네트워크 인터페이스 번호 등이 있을 수 있다. 호스트 식별자는 ISO의 OSI 참조모델에 따른 L2, L3의 헤더를 조사하거나, libpcap 라이브러리로부터 구할 수 있다.
상기한 클라이언트 식별자를 구하는 다양한 방법은 당업자에게 널리 알려진 주지관용 기술이므로 더 상세한 설명은 생략한다.
리버스 매핑 데이터 저장부(130)는 상기 주소 매핑 데이터 추출부(112)에서 추출된 주소 매핑 데이터를 저장하고 좀 더 바람직하게는 상기 클라이언트 식별자 추출부(113)에서 추출된 클라이언트 식별자를 상기 주소 매핑 데이터와 함께 저장한다. 도 14는 본 발명의 바람직한 실시예에 따른 리버스 매핑 데이터 저장부(130)에 저장된 데이터의 예시도이다. 도 14를 참조하면 IP 주소와 도메인 주소를 포함하는 주소 매핑 데이터(720)와 클라이언트를 고유하게 식별하기 위한 클라이언트 식별자(710)가 저장되어 있다. 주소 매핑 데이터(720)만으로도 IP 주소를 도메인 주소로 리버스 매핑할 수는 있으나, 도 14에 예시된 것처럼 하나의 IP 주소(192.168.0.100)가 여러 도메인 주소(www.company1.com, www.company2.com, eve.hacker.com)로 대응되는 경우, 클라이언트 식별자를 추가적인 검색 조건으로 이용하여 정확한 리버스 매핑을 하는 것이 바람직하다. 예를 들어, 도 14에 예시된 리버스 매핑 데이터를 이용하여 IP 주소 192.168.0.100을 도메인 주소로 리버스 매핑한다면, IP 주소만으로는 정확히 클라이언트가 어떤 도메인 주소를 이용하여 원격 호스트로 접속을 한 것인지 알기 어렵다. 그러나, 원격 호스트로 접속한 클라이언트의 프로세스 ID가 5000이라면 리버스 매핑 데이터 1(730)이 해당 정보를 가지고 있음을 알 수 있으며, 이로부터 실제로 클라이언트가 원격 호스트로 접속할 때 사용했던 도메인 주소는 www.company1.com이었음을 알 수 있다. 이와 같이 클라이 언트 식별자(710) 정보를 IP 주소와 함께 추가적인 검색 조건으로 활용하면 더 정확한 리버스 매핑을 할 수 있다.
리버스 매핑 데이터 저장부(130)는 주기억장치(main memory) 상의 자료구조로 구현될 수도 있으며, 하드디스크와 같은 보조기억장치 상의 파일로 구현될 수도 있으며, 관계형 데이터베이스 관리 시스템(RDBMS)을 이용하여 구현될 수도 있으며, 네트워크로 연결된 분산 시스템을 이용하여 구현될 수도 있을 것이다. 또한 리버스 매핑 데이터 저장부(130)는 클라이언트(210)와 물리적으로 동일한 컴퓨터 시스템에서 구현될 수도 있을 것이며, 클라이언트(210)와 물리적으로 분리된 독립된 장비로 구현될 수도 있을 것이다.
리버스 매핑부(120)는 상기 리버스 매핑 데이터 저장부(130)에 저장된 데이터를 이용하여 IP 주소를 도메인 주소로 변환하여 준다. 리버스 매핑부(120)는 리버스 매핑 클라이언트(230)로부터 리버스 매핑 요청을 수신하고 다시 결과를 반환하여 주는 인터페이스부(121), 리버스 매핑 데이터 저장부(130)에 저장된 데이터를 이용하여 리버스 매핑 클라이언트(230)가 요청한 검색 조건에 일치하는 데이터를 검색하는 리버스 매핑 데이터 검색부(122)를 포함한다.
인터페이스부(121)는 리버스 매핑 클라이언트(230)로부터 리버스 매핑 요청을 수신하고 그 결과를 다시 리버스 매핑 클라이언트(230)로 반환하기 위한 다양한 인터페이스를 제공한다. 리버스 매핑 클라이언트(230)에게 제공되는 인터페이스는 간단하게는 리버스 매핑 클라이언트(230)와 약속된 변수나 메모리 주소를 이용할 수도 있으며, 리버스 매핑 클라이언트(230)와 약속된 함수의 형태일 수도 있으며, 파이프, 공유 메모리, 메일 슬롯 등과 같은 IPC(Inter Process Communication) 기능을 이용할 수도 있으며, 소켓 등과 같은 네트워크 통신을 이용한 형태일 수도 있다.
인터페이스부(121)가 수신하는 리버스 매핑 요청은 리버스 매핑 클라이언트(230)가 도메인 주소로 변환하기 원하는 IP 주소를 포함하며, 더 바람직하게는 클라이언트를 고유하게 식별할 수 있는 하나 이상의 클라이언트 식별자를 검색 조건으로 포함할 수 있다.
리버스 매핑 데이터 검색부(122)는 상기 인터페이스부(121)에서 수신한 리버스 매핑 요청의 검색 조건에 일치하는 데이터를 리버스 매핑 데이터 저장부(130)을 이용하여 검색한다. 리버스 매핑 데이터를 검색할 때에는 리버스 매핑 요청의 검색 조건에 포함된 IP 주소와 함께 클라이언트를 고유하게 식별할 수 있는 식별자 정보도 함께 이용하여 정확한 데이터를 검색하는 것이 바람직하다. 리버스 매핑 데이터 검색부(122)는 리버스 매핑 데이터 저장부(130)에 저장된 데이터의 형태에 따라 순차 검색, 이진 검색 혹은 구조적 질의 언어(SQL; Structured Query Language) 등의 방법을 이용하여 검색을 할 수 있을 것이며, 이러한 다양한 검색 방법은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 널리 알려진 기술이므로 더 상세한 설명은 생략한다.
이하 도면 2, 도면 3, 도면 4를 참조하여 본 발명의 바람직한 실시예에 따른 도메인 리버스 매핑 방법에 대하여 상세히 설명한다.
도 2는 본 발명의 바람직한 실시예에 따른 도메인 리버스 매핑 방법을 나타 낸 흐름도이다. 도 2를 참조하면 리버스 매핑 데이터 수집 단계(S110)는 리버스 매핑에 필요한 데이터를 수집하고 수집된 데이터를 리버스 매핑 데이터 저장부(130)에 저장한다. 리버스 매핑 단계(S120)는 리버스 매핑 클라이언트(230)가 리버스 매핑을 요청했을 때 상기 리버스 매핑 데이터 수집 단계(S110)에서 수집된 리버스 매핑 데이터를 이용하여 리버스 매핑을 수행한다.
도 3은 상기 리버스 매핑 데이터 수집 단계(S110)를 구체적으로 나타낸 흐름도이다. 도 3을 참조하면 리버스 매핑 데이터 수집 단계(S110)는 DNS 메시지 검출 단계(S112), 주소 매핑 데이터 추출 단계(S113), 리버스 매핑 데이터 저장 단계(S115)를 포함하며, 더 바람직하게는 로컬 네임서버 주소 추출 단계(S111), 클라이언트 식별자 추출 단계(S114)를 더 포함한다.
로컬 네임서버 주소 추출부(114)를 이용하여 클라이언트(210)의 로컬 네임서버(220)의 주소를 추출한 후(S111), DNS 메시지 검출부(111)를 이용하여 DNS 메시지를 검출한다(S112). 이때 상기 로컬 네임서버 주소 추출 단계(S111)에서 추출한 로컬 네임서버의 주소 정보를 이용하여 로컬 네임서버와 교환되는 DNS 메시지만 선별적으로 검출하는 것이 바람직하다. 상기 DNS 메시지 검출 단계(S112)에서 검출된 DNS 메시지로부터 도메인 주소와 그에 대응하는 적어도 하나 이상의 IP 주소를 포함하는 주소 매핑 데이터를 추출한다(S113). 바람직하게는 리버스 매핑의 정확도를 향상시키기 위해 클라이언트를 고유하게 식별할 수 있는 식별자를 더 추출한다(S114). 그리고 상기 주소 매핑 데이터와 클라이언트 식별자 정보를 포함하는 리버스 매핑 데이터를 리버스 매핑 데이터 저장부(130)에 저장한다(S115). 상기 S115 단계가 완료되면 S112 단계로 되돌아가 반복 처리하며 지속적으로 리버스 매핑 데이터를 수집 및 축적하는 것이 바람직하다.
도 4는 상기 리버스 매핑 단계(S120)을 구체적으로 나타낸 흐름도이다. 도 4를 참조하면 인터페이스부(121)을 이용하여 리버스 매핑 클라이언트(230)로부터 리버스 매핑 요청을 수신하고(S121), 상기 수신된 리버스 매핑 요청의 검색 조건을 만족하는 리버스 매핑 데이터를 상기 리버스 매핑 데이터 저장부(130)를 이용하여 검색한다(S122). 상기 검색이 완료되면 그 결과를 리버스 매핑 클라이언트(230)에게 반환한다(S123).
이하 도 9, 도 10, 도 11, 도14를 참조하여 IP 주소를 도메인 주소로 변환하는 과정을 실례를 들어 구체적으로 설명한다.
도 11은 도메인 리버스 매핑 장치의 작동을 설명하기 위한 블록도이다. 도 11을 참조하면, 클라이언트(210)는 www.example.com 서버로 접속하고자 하는 클라이언트로, 구체적인 예로는 웹 브라우저일 수 있다. 클라이언트(210)는 먼저 www.example.com 도메인 주소를 IP 주소로 변환하기 위해 로컬 네임서버(220)로 DNS 질의를 한다. 로컬 네임서버(220)는 클라이언트(210)로부터 DNS 질의를 받아 루트 네임서버(240), com. 네임서버(250), example.com. 네임서버(260)에 차례로 질의를 하여 최종적으로 example.com. 네임서버(260)로부터 IP 주소가 담긴 응답을 수신한다. 로컬 네임서버(220)는 상기 example.com. 네임서버(260)가 보내준 응답을 클라이언트(210)에게 전달하여 DNS 질의 과정을 마친다. 이때 도메인 리버스 매핑 장치(100)는 클라이언트(210)와 로컬 네임서버(220) 사이에서 포워드 매핑 과정 에서 사용되는 DNS 메시지를 검출하여 이로부터 리버스 매핑에 필요한 데이터를 구축한다. 도메인 리버스 매핑 장치(100)는 클라이언트(210)와 로컬 네임서버(220)에게 투명하게 작동되는 것이 바람직하다.
클라이언트(210)가 www.example.com 도메인 주소에 대응하는 IP 주소를 구한 후에, 상기 IP 주소를 이용하여 www.example.com 웹서버로 소켓 연결을 한다. 이때 클라이언트(210)의 원격 호스트 접속을 모니터링하는 소프트웨어 및 시스템(230)은 상기 소켓 연결을 감지한다. 이러한 소프트웨어 및 시스템의 예로는 네트워크 방화 시스템, 네트워크 감사 시스템, 네트워크 트래픽 제어 시스템 등이 있을 수 있으며, 이러한 소프트웨어 및 시스템이 도메인 리버스 장치(100)를 이용하여 IP 주소를 도메인 주소로 변환하는 리버스 매핑 클라이언트(230)가 된다. 이러한 소프트웨어 및 시스템은 클라이언트의 소켓 연결을 감지한 후, 상기 감지된 소켓 연결로부터 클라이언트(210)가 접속하려는 원격 호스트의 IP 주소를 획득하고, 상기 획득된 IP 주소를 도메인 리버스 매핑 장치(100)에게 질의하여 도메인 주소로 변환한다. 상기 리버스 매핑 클라이언트(230)는 도메인 리버스 매핑 장치(100)로부터 반환된 도메인 주소를 이용하여 원하는 작업을 수행할 수 있다. 예를 들면 네트워크 방화 시스템의 경우에는 변환된 도메인 주소로 좀 더 세부적인 허용 및 차단 정책을 수행할 수도 있을 것이며, 사용자에게 통신 허용 여부를 팝업 창 등을 이용하여 질의할 때에도 숫자로 구성된 IP 주소 대신 사용자에게 친숙한 도메인 주소로 질의를 할 수 있을 것이다.
도 9와 도 10을 참조하여 상기 DNS 질의 및 DNS 응답에 사용되는 메시지의 형식을 좀 더 자세히 알아보면, 도 9는 상기 클라이언트(210)가 로컬 네임서버(220)로 www.example.com 도메인 주소를 포워드 매핑하기 위해 전송하는 DNS 질의 메시지이고, 도 10은 로컬 네임서버(220)로부터 클라이언트(210)로 전송되는 상기 포워드 매핑 질의에 대한 응답을 담고 있는 DNS 응답 메시지이다. DNS 질의 메시지와 DNS 응답 메시지 모두 도 5에 도시된 DNS 메시지 포맷(300)을 따른다.
DNS 질의 메시지(410)를 도 6을 참조하여 헤더 섹션을 해석해 보면, ID는 0x7C30이며, QR은 0으로 질의임을 나타내고, OPCODE는 0으로 표준 질의임을 나타내고, RD는 1로 재귀적 질의임을 나타내고, QDCOUNT는 1로 질의 섹션에 1개의 질의가 포함되어 있음을 알 수 있다. 도 7을 참조하여 질의 섹션을 해석해 보면, 질의하는 도메인 주소는 www.example.com이고, QTYPE은 1로 A 리소스 레코드를 질의함을 나타내고, QCLASS는 1로 IN 클래스를 질의함을 알 수 있다.
DNS 응답 메시지(420)를 도 6을 참조하여 헤더 섹션을 해석해 보면, ID는 0x7C30이며, QR은 1로 응답임을 나타내고, OPCODE는 0으로 표준 질의임을 나타내고, RD는 1로 재귀적 질의에 의해 응답되었음을 나타내고, RA는 1로 재귀적 질의가 로컬 네임서버(220)에 의해 지원됨을 나타내고, RCODE는 0으로 에러가 발생되지 않았음(즉, 성공)을 나타내고, ANCOUNT는 1로 응답 섹션에 답변을 나타내는 리소스 레코드가 1개 포함되어 있음을 나타낸다. DNS 응답 메시지(420)의 질의 섹션 부분은 상기 DNS 질의 메시지(410)와 동일하다. 도 8을 참조하여 응답 섹션의 내용을 해석하여 보면, NAME은 0xC00C로 www.example.com에 대한 리소스 레코드임을 나타내고, TYPE은 1로 A 리소스 레코드임을 나타내고, CLASS는 1로 IN 클래스임을 나타 내고, RDLENGTH는 4로 4바이트의 주소가 RDATA 필드에 저장되어있음을 나타내고, RDATA는 0xD04DBCA6으로 IP 주소가 208.77.188.166임을 나타낸다. 상기 DNS 메시지의 모든 필드에 대한 더 상세한 설명은 RFC 1035에 공개되어 있다.
상기의 예에서 알 수 있듯이, 질의 섹션은 DNS 질의 메시지와 DNS 응답 메시지에 같은 값이 들어 있기 때문에 주소 매핑 데이터 추출부(112)가 도메인 주소를 추출할 때에는 DNS 질의 메시지와 DNS 응답 메시지 중 어느 것을 이용해도 무방하다.
또한, 상기의 예에서 알 수 있듯이, DNS 메시지에는 각 질의 및 응답을 식별하기 위한 ID 값이 있는데, 악의적인 사용자가 고의적으로 요청되지 않은 DNS 질의 메시지에 대한 응답 메시지를 보내는 것을 걸러내려면 DNS 메시지 검출부(111)가 DNS 질의 메시지를 검출하여 임시적으로 저장한 후, DNS 응답 메시지를 검출할 때 DNS 응답 메시지의 ID를 임시적으로 저장되어 있는 상기 DNS 질의 메시지의 ID와 비교하여 유효성을 검증하는 것이 보안 측면에서 더욱 바람직하다.
이상과 같이 본 발명의 구체적인 내용을 한정된 환경에서 한정된 실시예와 도면을 통하여 설명하였다. 그러나, 본 발명은 이와 같이 특정한 플랫폼, 특정한 운영체제, 특정한 함수의 사용, 특정한 IP 버전 등에 의하여 한정되지 아니하며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술적 사상과 아래에 기재된 특허 청구범위의 균등 범위 내에서 다양한 수정 및 변형이 가능함은 자명한 사실이다.
본 발명에 의한 도메인 리버스 매핑 장치 및 방법은 특히 네트워크 방화 시스템, 네트워크 감사시스템, 네트워크 트래픽 제어 시스템 등에서 유용하게 활용될 수 있다.
네트워크 방화 시스템, 특히 개인 PC에 설치되는 개인 방화벽은 응용 프로그램이 외부 서버로 접속을 시도할 때, 상기 접속의 허용 여부를 스스로 판단할 수 없다면 팝업 창 등을 이용하여 사용자에게 상기 접속을 허용하겠냐는 질의를 하여 사용자의 판단에 따라 접속을 허용하거나 차단을 수행하는 것이 일반적이다. 이 때, 개인 방화벽은 응용 프로그램의 서버 접속을 감지했을 때 획득한 정보인 서버의 IP 주소, 서버의 포트 번호를 사용자에게 제시하고, 허용 여부를 질의한다. 그러나 컴퓨터에 전문적인 지식을 가지지 못한 일반 사용자는 개인 방화벽이 제시하는 숫자로만 표시된 IP 주소(dotted decimal notation)를 보고는 허용을 해야 할지 말아야 할지 쉽게 판단을 할 수가 없다. 이 문제점은 개인 방화벽이 효과적으로 해킹 및 개인정보 유출을 차단할 수 있는 수단임에도 불구하고 그 효용성을 발휘하지 못하는 주요한 원인이기도 하다. 여기에 본 발명의 기술적 사상을 적용하면 개인 방화벽은 응용 프로그램이 접속하려는 서버의 IP 주소를 도메인 주소로 리버스 매핑할 수 있으며, PC 사용자에게 숫자로만 구성된 IP 주소 대신 실제로 응용 프로그램이 접속을 시도한 서버의 도메인 주소를 정확히 제시해 줄 수 있게 되어, PC 사용자는 친숙한 도메인 주소를 보고 통신 허용 여부를 쉽게 판단할 수 있을 것이다.
또한, 네트워크 방화 시스템을 이용하여 통신 허용 및 차단 규칙(rule)을 정의할 때에도 접속을 허용 및 차단할 원격 호스트의 주소를 종래의 기술처럼 IP 주 소로 설정하지 않고, 도메인 주소로 설정하는 것이 가능할 것이다. 특히 하나의 IP 주소를 공유하는 하나의 물리적 서버에 다수의 도메인 주소로 다수의 서비스가 제공되는 경우 각각의 도메인 주소별로 차등적인 허용 및 차단 정책을 설정하는 것이 가능해진다.
LAN에 연결된 컴퓨터가 외부 호스트로 통신하는 내역을 기록하여 개인 정보나 기업 비밀의 유출을 감사(auditing)하는 네트워크 감사 시스템에 본 발명의 기술적 사상을 적용한다면, LAN에 연결된 컴퓨터들이 접속하는 원격 호스트의 주소에 대한 기록을 남길 때, 원격 호스트의 IP 주소 대신 실제로 클라이언트가 접속을 시도하였던 도메인 주소를 기록할 수 있게 되어, 좀 더 정확한 감사 기능을 수행할 수 있을 것이다. 특히, 본 발명은 특정 응용 프로토콜(예를 들면 HTTP)에 한정되지 아니하고 모든 응용 프로토콜의 경우에도 적용이 가능하다는 장점이 있다.
LAN에 연결된 컴퓨터가 외부로 통신하는 트래픽을 제어하여 QoS(Quality of Service) 등의 서비스를 제공하는 네트워크 트래픽 제어 시스템에 본 발명의 기술적 사상을 적용한다면, 서버의 IP 주소와 포트 번호만으로 트래픽을 제어하던 종래의 기술과 달리 클라이언트가 실제로 원격 호스트로 접속을 할 때 사용한 도메인 주소를 트래픽 제어의 판단 조건으로 활용하여 더 세분화되고 정확한 트래픽 제어를 할 수 있을 것이다.
추가적으로, 리버스 매핑이 필요할 때 루트네임서버를 비롯한 여러 네임서버에 질의를 할 필요 없이 도메인 리버스 매핑 장치(100)로 질의를 하여 한번에 결과를 얻음으로써, 종래의 기술을 사용한 리버스 매핑과 비교하여 속도상의 잇점도 있 다.
상기한 산업상 이용 가능성 외에도 네트워크 관련 응용 소프트웨어 및 관련 장비에서 클라이언트가 접속한 원격 호스트의 IP 주소를 도메인 주소로 변환할 필요가 있는 경우에 본 발명이 유용하게 활용될 수 있음을 당업자는 용이하게 알 수 있을 것이다.
도 1은 본 발명의 바람직한 실시예에 따른 도메인 리버스 매핑 장치를 나타내는 블록도,
도 2는 본 발명의 바람직한 실시예에 따른 도메인 리버스 매핑 방법을 나타내는 흐름도,
도 3은 도2의 리버스 매핑 데이터 수집 단계를 나타내는 흐름도,
도 4는 도2의 리버스 매핑 단계를 나타내는 흐름도,
도 5는 DNS 메시지 포맷을 도시한 도면,
도 6은 도 5의 헤더 섹션에서 사용되는 DNS 메시지 헤더 포맷을 도시한 도면,
도 7은 도 5의 질의 섹션에서 사용되는 DNS 질의 포맷을 도시한 도면,
도 8은 도 5의 응답 섹션, 인증 섹션, 추가 섹션에서 사용되는 리소스 레코드 포맷을 도시한 도면,
도 9는 본 발명의 바람직한 실시예를 설명하기 위한 DNS 질의 메시지의 예시도,
도 10은 본 발명의 바람직한 실시예를 설명하기 위한 DNS 응답 메시지의 예시도,
도 11은 본 발명의 바람직한 실시예에 따라 도메인 리버스 매핑 장치의 작동을 설명하기 위한 블록도,
도 12는 종래기술에 따른 리버스 매핑 과정을 설명하기 위한 블록도,
도 13은 다수의 도메인 주소로 서비스를 제공하는 하나의 물리적 서버를 나타내는 블록도,
도 14는 본 발명의 바람직한 실시예를 설명하기 위한 리버스 매핑 데이터의 예시도이다.
< 도면의 주요 부분에 대한 부호의 설명 >
100: 도메인 리버스 매핑 장치
110: 리버스 매핑 데이터 수집부
120: 리버스 매핑부
600: 물리적 서버

Claims (24)

  1. IP 주소를 도메인 주소로 변환하는 장치로서,
    클라이언트가 로컬 네임서버를 이용하여 도메인 주소를 IP 주소로 변환하는 과정에서 사용되는 DNS 메시지를 검출하고, 상기 검출된 DNS 메시지로부터 클라이언트가 IP 주소로 변환을 요청한 도메인 주소와 상기 도메인 주소에 대응하는 적어도 하나 이상의 IP 주소를 포함하는 주소 매핑 데이터를 추출하고, 상기 주소 매핑 데이터를 포함하는 IP 주소를 도메인 주소로 변환하기 위해 필요한 리버스 매핑 데이터를 수집하는 리버스 매핑 데이터 수집부;
    상기 리버스 매핑 데이터 수집부에서 수집된 리버스 매핑 데이터를 컴퓨터의 기억장치에 저장하는 리버스 매핑 데이터 저장부;
    상기 리버스 매핑 데이터 저장부에 저장된 리버스 매핑 데이터를 이용하여 IP 주소를 도메인 주소로 변환하는 리버스 매핑 기능을 제공하는 리버스 매핑부;
    를 포함하는 것을 특징으로 하는 도메인 리버스 매핑 장치.
  2. 제 1항에 있어서,
    리버스 매핑 데이터 수집부는,
    클라이언트가 로컬 네임서버를 이용하여 도메인 주소를 IP 주소로 변환하는 과정에서 사용되는 DNS 메시지를 검출하는 DNS 메시지 검출부;
    상기 DNS 메시지 검출부에서 검출된 DNS 메시지에서 클라이언트가 IP 주소로 변환을 요청한 도메인 주소와 상기 도메인 주소에 대응하는 적어도 하나 이상의 IP 주소를 추출하는 주소 매핑 데이터 추출부;
    를 포함하는 것을 특징으로 하는 도메인 리버스 매핑 장치.
  3. 제 2항에 있어서,
    리버스 매핑 데이터 수집부는,
    클라이언트를 식별할 수 있는 식별자를 추출하는 클라이언트 식별자 추출부;
    를 더 포함하며,
    상기 리버스 매핑 데이터 저장부에 저장되는 리버스 매핑 데이터는 상기 클라이언트 식별자 추출부에서 추출된 클라이언트 식별자를 더 포함하는 것을 특징으로 하는 도메인 리버스 매핑 장치.
  4. 제 2항에 있어서,
    리버스 매핑 데이터 수집부는,
    클라이언트의 로컬 네임서버로 설정되어 있는 적어도 하나 이상의 로컬 네임서버의 주소를 추출하는 로컬 네임서버 주소 추출부;
    를 더 포함하며,
    상기 DNS 메시지 검출부는 상기 로컬 네임서버 주소 추출부에서 추출된 네임서버의 주소와 일치하는 주소를 가진 네임서버와 교환하는 DNS 메시지만 선별적으로 검출하는 것을 특징으로 하는 도메인 리버스 매핑 장치.
  5. 제 4항에 있어서,
    로컬 네임서버 주소 추출부가 추출하는 로컬 네임서버의 주소는 IPv4, IPv6 중 적어도 어느 하나의 형태로 표현되는 것을 특징으로 하는 도메인 리버스 매핑 장치.
  6. 제 3항에 있어서,
    클라이언트를 식별할 수 있는 식별자는, 클라이언트를 프로세스 단위로 식별하기 위한 프로세스 식별자, 클라이언트를 쓰레드 단위로 식별하기 위한 쓰레드 식별자, 클라이언트를 모듈 단위로 식별하기 위한 모듈 식별자, 클라이언트를 호스트 단위로 식별하기 위한 호스트 식별자 중 적어도 어느 하나 이상을 포함하는 것을 특징으로 하는 도메인 리버스 매핑 장치.
  7. 제 1항에 있어서,
    리버스 매핑부는,
    도메인 주소로 변환할 IP 주소가 검색 조건으로 포함되어 있는 리버스 매핑 요청을 수신하고 상기 리버스 매핑 요청에 대한 결과를 반환하는 인터페이스부;
    상기 리버스 매핑 데이터 저장부를 이용하여 상기 리버스 매핑 요청의 검색 조건을 만족하는 도메인 주소를 검색하는 리버스 매핑 데이터 검색부;
    를 포함하는 것을 특징으로 하는 도메인 리버스 매핑 장치.
  8. 제 7항에 있어서,
    상기 리버스 매핑 요청에 포함되는 검색 조건은 프로세스 식별자, 쓰레드 식별자, 모듈 식별자, 호스트 식별자 중 적어도 어느 하나 이상을 더 포함하는 것을 특징으로 하는 도메인 리버스 매핑 장치.
  9. 제 1항, 제 2항 중 어느 한 항에 있어서,
    리버스 매핑 데이터 저장부가 리버스 매핑 데이터를 저장하는 컴퓨터의 기억장치는 주기억장치인 것을 특징으로 하는 도메인 리버스 매핑 장치.
  10. 제 1항, 제 2항 중 어느 한 항에 있어서,
    리버스 매핑 데이터 저장부가 리버스 매핑 데이터를 저장하는 컴퓨터의 기억장치는 보조기억장치인 것을 특징으로 하는 도메인 리버스 매핑 장치.
  11. 제 1항, 제 2항 중 어느 한 항에 있어서,
    리버스 매핑 데이터 저장부가 리버스 매핑 데이터를 저장하는 컴퓨터의 기억장치는 네트워크로 연결된 적어도 하나 이상의 컴퓨터 시스템인 것을 특징으로 하는 도메인 리버스 매핑 장치.
  12. 제 1항에 있어서,
    도메인 리버스 매핑 장치는 클라이언트와 물리적으로 동일한 컴퓨터 시스템 내에 구비되는 것을 특징으로 하는 도메인 리버스 매핑 장치.
  13. 제 1항에 있어서,
    도메인 리버스 매핑 장치는 클라이언트와 물리적으로 분리된 컴퓨터 시스템으로 구비되는 것을 특징으로 하는 도메인 리버스 매핑 장치.
  14. IP 주소를 도메인 주소로 변환하는 방법으로서,
    클라이언트가 로컬 네임서버를 이용하여 도메인 주소를 IP 주소로 변환하는 과정에서 사용되는 DNS 메시지를 검출하고, 상기 검출된 DNS 메시지로부터 클라이언트가 IP 주소로 변환을 요청한 도메인 주소와 상기 도메인 주소에 대응하는 적어도 하나 이상의 IP 주소를 포함하는 주소 매핑 데이터를 추출하고, 상기 주소 매핑 데이터를 포함하는 IP 주소를 도메인 주소로 변환하기 위해 필요한 리버스 매핑 데이터를 수집하고, 상기 수집된 리버스 매핑 데이터를 컴퓨터의 기억 장치에 저장하는 리버스 매핑 데이터 수집 단계;
    상기 리버스 매핑 데이터 수집 단계에서 수집된 리버스 매핑 데이터를 이용하여 IP 주소를 도메인 주소로 변환하는 리버스 매핑을 수행하는 리버스 매핑 단계;
    를 포함하는 것을 특징으로 하는 도메인 리버스 매핑 방법.
  15. 제 14항에 있어서,
    리버스 매핑 데이터 수집 단계는,
    클라이언트가 로컬 네임서버를 이용하여 도메인 주소를 IP 주소로 변환하는 과정에서 사용되는 DNS 메시지를 검출하는 DNS 메시지 검출 단계;
    상기 DNS 메시지 검출단계에서 검출된 DNS 메시지에서 클라이언트가 IP 주소로 변환을 요청한도메인 주소와 상기 도메인 주소에 대응하는 적어도 하나 이상의 IP 주소를 추출하는 주소 매핑 데이터 추출 단계;
    상기 주소 매핑 데이터 추출 단계에서 추출된 주소 매핑 데이터를 포함하는 IP 주소를 도메인 주소로 변환하기 위해 필요한 리버스 매핑 데이터를 컴퓨터의 기억 장치에 저장하는 리버스 매핑 데이터 저장 단계;
    를 포함하는 것을 특징으로 하는 도메인 리버스 매핑 방법.
  16. 제 15항에 있어서,
    리버스 매핑 데이터 수집 단계는,
    클라이언트를 식별할 수 있는 식별자를 추출하는 클라이언트 식별자 추출 단계;
    를 더 포함하며,
    상기 리버스 매핑 데이터 저장 단계에서 저장되는 리버스 매핑 데이터는 상기 클라이언트 식별자 추출 단계에서 추출된 클라이언트 식별자를 더 포함하는 것을 특징으로 하는 도메인 리버스 매핑 방법.
  17. 제 15항에 있어서,
    리버스 매핑 데이터 수집 단계는,
    클라이언트의 로컬 네임서버로 설정되어 있는 적어도 하나 이상의 로컬 네임서버의 주소를 추출하는 로컬 네임서버 주소 추출 단계;
    를 더 포함하며,
    상기 DNS 메시지 검출 단계는 상기 로컬 네임서버 주소 추출 단계에서 추출된 로컬 네임서버의주소와 일치하는 주소를 가진 네임서버와 교환하는 DNS 메시지만 선별적으로 검출하는 것을 특징으로 하는 도메인 리버스 매핑 방법.
  18. 제 17항에 있어서,
    로컬 네임서버 주소 추출단계에서 추출하는 로컬 네임서버의 주소는 IPv4, IPv6 중 적어도 어느 하나의 형태로 표현되는 것을 특징으로 하는 도메인 리버스 매핑 방법.
  19. 제 16항에 있어서,
    클라이언트를 식별할 수 있는 식별자는, 클라이언트를 프로세스 단위로 식별하기 위한 프로세스 식별자, 클라이언트를 쓰레드 단위로 식별하기 위한 쓰레드 식별자, 클라이언트를 모듈 단위로 식별하기 위한 모듈 식별자, 클라이언트를 호스트 단위로 식별하기 위한 호스트 식별자 중 적어도 어느 하나 이상을 포함하는 것을 특징으로 하는 도메인 리버스 매핑 방법.
  20. 제 14항에 있어서,
    리버스 매핑 단계는,
    도메인 주소로 변환할 IP 주소가 검색 조건으로 포함되어 있는 리버스 매핑 요청을 수신하는 리버스 매핑 요청 수신 단계;
    상기 리버스 매핑 요청 수신 단계에서 수신된 리버스 매핑 요청의 검색 조건을 만족하는 도메인 주소를 검색하는 리버스 매핑 데이터 검색 단계;
    상기 리버스 매핑 데이터 검색 단계의 결과를 반환하는 리버스 매핑 결과 반환 단계;
    를 포함하는 것을 특징으로 하는 도메인 리버스 매핑 방법.
  21. 제 20항에 있어서,
    상기 리버스 매핑 요청에 포함되는 검색 조건은 프로세스 식별자, 쓰레드 식별자, 모듈 식별자, 호스트 식별자 중 적어도 어느 하나 이상을 더 포함하는 것을 특징으로 하는 도메인 리버스 매핑 방법.
  22. 제 14항, 제 15항 중 어느 한 항에 있어서,
    리버스 매핑 데이터 수집 단계에서 수집된 리버스 매핑 데이터가 저장되는 컴퓨터의 기억 장치는주기억장치인 것을 특징으로 하는 도메인 리버스 매핑 방법.
  23. 제 14항, 제 15항 중 어느 한 항에 있어서,
    리버스 매핑 데이터 수집 단계에서 수집된 리버스 매핑 데이터가 저장되는 컴퓨터의 기억 장치는 보조기억장치인 것을 특징으로 하는 도메인 리버스 매핑 방법.
  24. 제 14항, 제 15항 중 어느 한 항에 있어서,
    리버스 매핑 데이터 수집 단계에서 수집된 리버스 매핑 데이터가 저장되는 컴퓨터의 기억 장치는 네트워크로 연결된 적어도 하나 이상의 컴퓨터 시스템인 것을 특징으로 하는 도메인 리버스 매핑 방법.
KR1020090039731A 2009-05-07 2009-05-07 도메인 리버스 매핑 장치 및 방법 KR100961831B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090039731A KR100961831B1 (ko) 2009-05-07 2009-05-07 도메인 리버스 매핑 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090039731A KR100961831B1 (ko) 2009-05-07 2009-05-07 도메인 리버스 매핑 장치 및 방법

Publications (1)

Publication Number Publication Date
KR100961831B1 true KR100961831B1 (ko) 2010-06-08

Family

ID=42369679

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090039731A KR100961831B1 (ko) 2009-05-07 2009-05-07 도메인 리버스 매핑 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100961831B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030093438A1 (en) 2001-11-09 2003-05-15 David Miller System and method for performing reverse DNS resolution
US20040186850A1 (en) 2003-02-18 2004-09-23 Nortel Networks Limited Discovery of application server in an IP network
US20080014837A1 (en) 2006-07-14 2008-01-17 Fujitsu Hitachi Plasma Display Limited Method of forming partitions of plasma display panel and device for forming partitions

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030093438A1 (en) 2001-11-09 2003-05-15 David Miller System and method for performing reverse DNS resolution
US20040186850A1 (en) 2003-02-18 2004-09-23 Nortel Networks Limited Discovery of application server in an IP network
US20080014837A1 (en) 2006-07-14 2008-01-17 Fujitsu Hitachi Plasma Display Limited Method of forming partitions of plasma display panel and device for forming partitions

Similar Documents

Publication Publication Date Title
US8584195B2 (en) Identities correlation infrastructure for passive network monitoring
US8972571B2 (en) System and method for correlating network identities and addresses
TWI478564B (zh) 用於安全資源名稱解析的方法、電腦可讀取儲存媒體及設備
TWI475863B (zh) 使用快取之安全資源名稱解析
US7831697B2 (en) Mapping notification system for relating static identifier to dynamic address
US7706267B2 (en) Network service monitoring
US20170141975A1 (en) Monitoring network traffic by using event log information
EP3313044A1 (en) Real-time cloud based detection and mitigation of dns data exfiltration and dns tunneling
US11696110B2 (en) Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain
US20150288711A1 (en) Network analysis apparatus and method
JP4148526B2 (ja) ネットワークアドレス変換機器を検出する装置および方法。
US7584506B2 (en) Method and apparatus for controlling packet transmission and generating packet billing data on wired and wireless network
CN108737584A (zh) 容器服务的访问方法、网络地址的解析方法、装置和系统
CN108632221B (zh) 定位内网中的受控主机的方法、设备及系统
Le et al. Policy-based identification of iot devices’ vendor and type by dns traffic analysis
CN108063833B (zh) Http dns解析报文处理方法及装置
US10574674B2 (en) Host level detect mechanism for malicious DNS activities
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
CN111988447A (zh) 网络安全防护方法及dns递归服务器
Albakour et al. Third time's not a charm: exploiting SNMPv3 for router fingerprinting
EP1294141A2 (en) Method and apparatus for transferring packets in network
KR100961831B1 (ko) 도메인 리버스 매핑 장치 및 방법
KR20110036418A (ko) 디엔에스 룩어사이드 장치 및 방법
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
EP2014011A2 (en) Association of in-band and out-of-band identification credentials of a target device

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130509

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140527

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150528

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee