KR101063321B1 - 유해 트래픽 차단 장치 및 방법 - Google Patents

유해 트래픽 차단 장치 및 방법 Download PDF

Info

Publication number
KR101063321B1
KR101063321B1 KR1020090106278A KR20090106278A KR101063321B1 KR 101063321 B1 KR101063321 B1 KR 101063321B1 KR 1020090106278 A KR1020090106278 A KR 1020090106278A KR 20090106278 A KR20090106278 A KR 20090106278A KR 101063321 B1 KR101063321 B1 KR 101063321B1
Authority
KR
South Korea
Prior art keywords
dns query
client
hash value
dns
cname
Prior art date
Application number
KR1020090106278A
Other languages
English (en)
Other versions
KR20110049311A (ko
Inventor
조성면
황원준
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020090106278A priority Critical patent/KR101063321B1/ko
Publication of KR20110049311A publication Critical patent/KR20110049311A/ko
Application granted granted Critical
Publication of KR101063321B1 publication Critical patent/KR101063321B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

유해 트래픽 차단 장치 및 방법이 개시된다. 본 발명의 일 실시예에 따른 유해 트래픽 차단 방법은, 클라이언트에서 DNS 서버로 전송되는 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, DNS 질의에 소정의 해시 값을 포함시킨 CNAME을 발생시켜 클라이언트로 전송하고, 그 이후 클라이언트로부터 CNAME에 대한 DNS 질의가 전송되면, 전송되는 DNS 질의의 해시 값 무결성 여부를 확인하여, 해시 값 무결성 여부가 확인되지 않는 경우, 유해 트래픽으로 판단하여 차단한다.
DDOS, 해시, 트래픽 양, 차단

Description

유해 트래픽 차단 장치 및 방법{APPARATUS AND METHOD FOR BLOCKING HARMFUL TRAFFIC}
본 발명의 실시예들은 플러딩 공격(Flooding Attack)과 같은 사이버 공격에 효율적으로 차단시킬 수 있는 기술에 관한 것이다.
최근 인터넷 기술의 발달로 인해 인터넷 사용이 급격히 증가하고 있으며, 인터넷을 이용한 다양한 응용 기술들이 개발되고 있다. 이에 따라 인터넷 상에서 이루어지는 사이버 공격의 발생 빈도도 점점 증가하고 있으며, 그로 인해 입게 되는 피해의 규모도 이전과는 비교할 수 없을 정도로 커지고 있다.
또한, 사이버 공격의 수준을 보면, 기존의 가입자 단에 위치하는 시스템들을 목표로 하는 공격에서 네트워크 자체의 운용 및 성능에 영향을 미쳐 결과적으로 네트워크 서비스 제공 자체를 위협하는 수준에 이르는 등 심각한 문제점을 야기시키고 있다.
예를 들어, 분산 서비스 거부(Distributed Denied Of Service : 이하 'DDOS' 라 한다) 공격은 매우 심각한 네트워크 보안 문제로 인식되고 있다. DDOS 공격은 다수의 좀비(Zombie) 컴퓨터가 인터넷 상의 특정 웹 서버 및 네트워크로 순간적으로 다량의 데이터를 보냄으로써, 해당 시스템 및 네트워크가 정상적으로 동작하지 못하도록 하는 것을 말한다.
DDOS 공격은 정상적인 트래픽과 구별하기가 힘들어 사전에 예측하기가 곤란하며, 송신자 IP 주소를 계속 변조하므로 추적이 어려운 점이 있다. 예를 들어, DNS 서버에 대해 DDOS 공격이 실행된다고 가정하면, 공격을 받는 DNS 서버는 정상적인 DNS 쿼리와 DDOS 공격을 위한 DNS 쿼리를 구분할 방법이 없으며, 다수의 좀비 컴퓨터들은 DNS 쿼리의 송신자 IP 주소를 계속 변조하기 때문에 추적이 어렵다.
DDOS 공격은 다량의 유해 트래픽을 네트워크에 유입시켜 망 전체의 자원을 고갈시키는 대역폭 소모형 공격 추세로 발전되고 있어, 네트워크 보안 측면 뿐만 아니라 기존의 네트워크 자원 관리 측면에서도 매우 심각한 문제를 유발시키고 있다.
따라서, DDOS 공격을 비롯한 여러 사이버 공격의 유해 트래픽을 감지하여, 유해 트래픽의 해당 네트워크로의 유입을 차단하는 방안이 요구된다.
본 발명의 실시예들은 이상 트래픽 감지 신호가 발생된 이후에 전송되는 DNS 질의의 해시 값 무결성 여부를 확인함으로써, 정상적인 DNS 질의와 비정상적인 DNS 질의를 구분하고, 비정상적인 DNS 질의가 DNS 서버로 전송되는 것을 차단하고자 한다.
본 발명의 실시예들에 의한 다른 기술적 해결 과제는 하기의 설명에 의해 이해될 수 있으며, 이는 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있다.
상기 문제점을 해결하기 위한 본 발명의 일 실시예에 따른 유해 트래픽 차단 장치는, 클라이언트의 DNS 질의를 DNS 서버로 전달하고, 상기 DNS 질의에 대한 상기 DNS 서버의 응답을 상기 클라이언트로 전달하는 투명 프록시 부; 상기 클라이언트에서 상기 DNS 서버로 전달되는 DNS 질의의 트래픽 양을 모니터링하여 기설정된 트래픽 양을 초과하면, 이상 트래픽 감지 신호를 발생시키는 트래픽 모니터부; 상기 이상 트래픽 감지 신호가 발생하는 경우, 소정의 해시 값을 발생시키고 상기 이상 트래픽 감지 신호가 발생할 당시 전송된 DNS 질의에 상기 해시 값을 포함하여 CNAME(Canonical Name)을 생성하는 CNAME 발생부; 상기 이상 트래픽 감지 신호를 발생시킨 후, 상기 클라이언트로부터 전송되는 DNS 질의에 대해 해시 값 무결성 여 부를 확인하는 해시 검증부; 및 상기 CNAME을 상기 클라이언트로 전송하도록 상기 투명 프록시 부를 제어하고, 상기 이상 트래픽 감지 신호 발생 후 상기 클라이언트로부터 전송되는 DNS 질의에 대해 해시 값 무결성 여부가 확인되지 않는 경우, 상기 전송되는 DNS 질의를 유해 트래픽으로 판단하는 제어부를 포함한다.
상기 문제점을 해결하기 위한 본 발명의 일 실시예에 따른 유해 트래픽 차단 방법은, (A) 트래픽 모니터부가 클라이언트에서 DNS 서버로 전달되는 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하는지 여부를 확인하는 단계; (B) 상기 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, CNAME 발생부가 상기 DNS 질의에 소정의 해시 값이 포함된 CNAME을 생성하는 단계; (C) 제어부가 투명 프록시부를 통해 상기 생성한 CNAME을 상기 클라이언트로 전송한 후, 상기 클라이언트로부터 DNS 질의가 전송되는지 여부를 확인하는 단계; 및 (D) 상기 클라이언트로부터 상기 DNS 질의가 전송되는 경우, 상기 제어부가 해시 검증부를 통해 상기 DNS 질의에 대해 해시 값 무결성 여부를 확인하여, 상기 무결성 여부에 따라 상기 DNS 질의에 대해 유해 트래픽 여부를 판단하는 단계를 포함한다.
본 발명의 실시예들에 의하면, DNS 서버를 대상으로 DDOS와 같은 플러딩 공격(Flooding Attack)이 실행되는 경우, 정상 트래픽과 유해 트래픽을 구별하여 정상적인 DNS 질의만을 DNS 서버에 전달함으로써, DDOS의 공격 중에도 DNS 서버의 안정적인 서비스를 가능하게 할 수 있다.
이때, 상기 DDOS 공격에 대한 방어에 소요되는 데이터 처리량이 적으므로(해시 값의 무결성 여부만 확인하면 됨), 수 많은 플러딩 공격에 효율적으로 대처할 수 있다.
또한, 기존의 시스템(예를 들어, DNS 서버)의 설정 변경이 불필요하며, 유해 트래픽 차단 장치만 별도로 설치하면 되기 때문에, DDOS 공격과 같은 플러딩 공격에 손쉽게 대처할 수 있다.
이하, 도 1 내지 도 4를 참조하여 본 발명의 유해 트래픽 차단 장치 및 방법의 구체적인 실시예를 설명하기로 한다. 그러나 이는 예시적 실시예에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
또한, 이하 실시되는 본 발명의 실시예는 본 발명을 이루는 기술적 구성요소를 효율적으로 설명하기 위해 각각의 시스템 기능구성에 기 구비되어 있거나, 또는 본 발명이 속하는 기술분야에서 통상적으로 구비되는 시스템 기능 구성은 가능한 생략하고, 본 발명을 위해 추가적으로 구비되어야 하는 기능 구성을 위주로 설명한다. 만약 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 하기에 도시하지 않고 생략된 기능 구성 중에서 종래에 기 사용되고 있는 구성요소의 기능을 용이하게 이해할 수 있을 것이며, 또한 상기와 같이 생략된 구성 요소와 본 발명을 위해 추가된 구성 요소 사이의 관계도 명백하게 이해할 수 있을 것이다.
이하의 설명에 있어서, 신호 또는 정보의 "전송", "통신", "송신", "수신" 기타 이와 유사한 의미의 용어는 일 구성요소에서 다른 구성요소로 신호 또는 정보가 직접 전달되는 것뿐만이 아니라 다른 구성요소를 거쳐 전달되는 것도 포함한다. 특히 신호 또는 정보를 일 구성요소로 "전송" 또는 "송신"한다는 것은 그 신호 또는 정보의 최종 목적지를 지시하는 것이고 직접적인 목적지를 의미하는 것이 아니다. 이는 신호 또는 정보의 "수신"에 있어서도 동일하다.
결과적으로, 본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하 실시예는 진보적인 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
도 1은 DNS를 기반으로 하는 GSLB(Global Server Load Balancing) 시스템의 구성을 나타낸 도면이다.
도 1을 참조하면, 클라이언트(10), 로컬 DNS 서버(20), 및 DNS 서버(30)를 포함한다.
상기 클라이언트(10)는 특정 호스트 네임(Host Name)에 대한 IP 주소를 묻는 순환 질의(Recursive Query)를 상기 로컬 DNS 서버(20)로 보낸다. 상기 클라이언트(10)는 PC(Personal Computer), 노트북, PDA(Personal Digital Assistant) 및 모바일 폰 등과 같은 디지털 처리 장치일 수 있다.
여기서, 순환 질의(Recursive Query)는 DNS 질의 중 하나로서, 상기 로컬 DNS 서버(120)는 상기 순환 질의에 대해서 다른 DNS 서버를 참조하라는 응답을 해서는 안되며, 상기 순환 질의에 대해 끝까지 정보를 찾아서 응답을 해주어야 하고, 존재하지 않는 정보에 대해서는 에러 메시지를 전달한다.
상기 로컬 DNS 서버(20)는 상기 클라이언트(10)에 설정된 서버로서, 상기 로컬 DNS 서버(20)는 자신의 영역(Zone) 파일 즉, 특정 도메인에 속하는 호스트 이름과 그에 해당하는 IP 주소가 저장된 파일을 검색하여, 상기 클라이언트(10)가 요청하는 도메인에 대한 영역 파일이 있는지를 확인한다.
상기 로컬 DNS 서버(20)는 자신의 영역 파일에 상기 클라이언트(10)가 요청하는 도메인에 대한 영역 파일이 없는 경우, 상기 순환 질의에 대해 상기 DNS 서버(30)에게 반복 질의(Iterative Query)를 보낸다.
여기서, 반복 질의(Iterative Query)는 DNS 질의 중 하나로서, DNS 서버는 상기 반복 질의에 대해 자신에게 해당하는 정보가 없는 경우, 해당 정보를 관장하는 또 다른 DNS 서버의 정보를 알려준다. 즉, DNS 질의(Query)에는 순환 질의와 반복 질의가 있는데, 상기 로컬 DNS 서버(20)가 수행하는 DNS 질의는 반복 질의이다.
상기 로컬 DNS 서버(20)는 상기 반복 질의에 대한 상기 DNS 서버(30)의 응답(즉, 해당 도메인의 IP 주소)을 상기 클라이언트(10)에게 전송해준다.
상기 DNS 서버(30)는 상기 반복 질의에 대해 해당 도메인의 IP 주소를 상기 로컬 DNS 서버(20)로 전송한다. 이때, 상기 DNS 서버(30)는 상기 로컬 DNS 서버(20)의 위치에 따라 상기 로컬 DNS 서버(20)의 위치에서 가장 가까운 복제 서버의 IP 주소를 알려주어, 상기 클라이언트(10)가 해당 호스트 이름을 가진 다수의 서버 중 가장 빠른 서비스를 제공할 수 있는 서버에 접속할 수 있도록 한다.
상기 DNS 서버(30)는 네임 서버와 도메인 네임과 IP 주소를 매칭하는 참조 테이블 또는 데이터베이스를 포함할 수 있으며, 루트 DNS 서버, 탑 레벨 DNS 서버, 세컨드 레벨 DNS 서버 등의 계층 구조를 형성할 수도 있다.
또한, 상기 DNS 서버(30)는 복수개의 네임 서버를 포함하거나 계층 구조를 이루는 경우, 복수 개의 DNS 서버 중 네임 서비스를 제공할 서버를 결정하는 장치를 포함할 수 있다.
여기서, 좀비 클라이언트(미도시)가 상기 DNS 서버(30)를 대상으로 DDOS 공격을 하는 경우, 상기 좀비 클라이언트는 일반적으로 상기 로컬 DNS 서버(20)를 거치지 않고 상기 DNS 서버(30)를 직접 공격하게 된다.
상기 좀비 클라이언트가 상기 로컬 DNS 서버(20)를 거쳐 DNS 서버(30)를 공격하는 경우, 상기 로컬 DNS 서버(20)는 일정 주기 동안 도메인 네임을 캐싱하고 있기 때문에, 상기 DNS 서버(30)에는 영향을 주지 못하기 때문이다.
예를 들어, 좀비 클라이언트가 www.abc.com의 IP 주소를 묻는 질의를 발생시킨 경우, 상기 로컬 DNS 서버(20)는 자신의 영역 파일에 해당 도메인에 속하는 호스트 이름과 그에 따른 IP 주소가 저장되어 있지 않으면, 상기 DNS 서버(30)에게 DNS 질의하여 상기 도메인에 대한 IP 주소를 얻은 후, 상기 좀비 클라이언트에게 전달해준다. 이때, 상기 로컬 DNS 서버(20)는 상기 도메인에 대한 IP 주소를 자신의 영역 파일에 캐싱하여 둔다.
따라서, 상기 좀비 클라이언트가 또 다시 www.abc.com의 IP 주소를 묻는 질의를 발생시키는 경우, 상기 로컬 DNS 서버(20)는 자신의 영역 파일에서 상기 도메인에 대한 IP 주소를 추출하여 직접 좀비 클라이언트로 전달해준다. 이 경우, 상기 DNS 서버(30)에는 아무런 영향을 미치지 못하게 된다.
그러므로, 하기에서는 좀비 클라이언트가 직접 DNS 서버로 DDOS 공격을 하는 경우, 이를 차단하는 방안에 대해 설명하기로 한다.
도 2는 본 발명의 일 실시예에 따른 유해 트래픽 차단 장치를 이용한 DDOS 공격 차단 시스템의 구성을 나타낸 도면이다. 여기서는 DNS(Domain Name Service)를 기반으로 하는 GSLB(Global Server Load Balancing) 시스템이 DDOS 공격을 받는 경우를 일 실시예로 설명하였다. 그러나 본 발명은 이러한 경우에 한정되는 것은 아니며, GSLB 시스템 이외에 다양한 네트워크 또는 웹 서버 등에서 사이버 공격을 받는 경우에 적용할 수 있음은 물론이다.
도 2를 참조하면, 클라이언트(110), 유해 트래픽 차단 장치(120), 및 DNS 서버(130)를 포함한다.
상기 클라이언트(110)는 소정 도메인 네임에 대한 IP 주소를 묻는 DNS 질의를 발생시킨다. 상기 클라이언트(110)는 PC(Personal Computer), 노트북, PDA(Personal Digital Assistant) 및 모바일 폰 등과 같은 디지털 처리 장치일 수 있다.
상기 클라이언트(110)는 정상적인 DNS 질의를 발생시키는 정상 클라이언트(111)일 수도 있고, 비정상적인 DNS 질의(예를 들어, DDOS 공격을 위한 순환 질의)를 발생시키는 좀비(Zombie) 클라이언트(114)일 수도 있다.
상기 정상 클라이언트(111)의 경우, 로컬 DNS 서버(미도시)를 통해 상기 DNS 서버(130)로부터 해당 도메인 네임에 대한 IP 주소를 획득하지만, 여기서는 설명의 편의상 로컬 DNS 서버를 도시하지 않았다.
상기 좀비 클라이언트(114)의 경우, 소정 도메인 네임에 대한 IP 주소를 묻는 DNS 질의를 연속적으로 발생시킨 후, 상기 DNS 질의를 상기 DNS 서버(130)로 직접 전달한다.
상기 유해 트래픽 차단 장치(120)는 상기 DNS 서버(130)의 전단에 설치된다. 상기 유해 트래픽 차단 장치(120)는 상기 DNS 서버(130)로 전송되는 DNS 질의의 트래픽 양을 모니터링하여, 상기 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, 해당 DNS 질의에 대한 응답으로 상기 DNS 질의에 소정의 해시 값(Hash Value)이 포함된 CNAME(Canonical Name)을 생성하여 상기 클라이언트(110)로 전달한다.
이때, 상기 클라이언트(110)가 좀비 클라이언트(114)라면, 상기 좀비 클라이언트(114)는 상기 해시 값이 포함된 CNAME에 대한 DNS 질의를 다시 발생시켜 상기 DNS 서버(130)로 전송할 수 없게 된다.
구체적으로, 상기 좀비 클라이언트(114)는 대부분 자신의 IP 주소를 변경하면서 DDOS 공격을 하기 때문에, 상기 CNAME 자체를 수신할 수 없으며, 따라서 상기 좀비 클라이언트(114)에서는 상기 CNAME에 대한 DNS 질의를 발생시킬 수 없게 된다.
또한, 상기 좀비 클라이언트(114)는 상기 DNS 서버(130)로 다량의 DNS 질의를 전송하여, 정상적인 DNS 서비스가 불가능하도록 하는 것을 목적으로 한다. 따라서, 상기 좀비 클라이언트(114)는 소정 도메인에 대한 DNS 질의만을 계속 발생시켜 상기 DNS 서버(130)로 전송할 뿐, 상기 DNS 질의를 통해 소정 도메인의 IP 주소를 얻고자 하는 의도를 가지고 있지 않다.
그러므로, 상기 좀비 클라이언트(114)가 자신의 IP 주소를 변경하지 않아, 상기 CNAME을 수신한다 하더라도, 상기 좀비 클라이언트(110)는 상기 해시 값이 포함된 CNAME에 대한 DNS 질의를 다시 발생시키지 않으며, 해당 도메인에 대한 원래의 DNS 질의만을 발생시킨다.
한편, 상기 좀비 클라이언트(114)가 임의적으로 해시 값을 생성한 후, 해시 값이 포함된 DNS 질의를 발생시킬 수 있으나, 상기 유해 트래픽 차단 장치(120)는 주기적으로 비밀키(Secret Key) 값을 변경하면서 해시 값을 생성하므로, 상기 좀비 클라이언트(114)는 상기 CNAME과 동일한 DNS 질의를 발생시킬 수 없게 된다.
종합하여 말하면, 상기 좀비 클라이언트(114)는 상기 CNAME에 대한 아무런 처리 로직이 없으므로, 상기 CNAME에 대한 DNS 질의를 발생시킬 수 없게 된다.
반면에, 상기 클라이언트(110)가 정상적인 클라이언트(111)라면, 상기 해시 값이 포함된 CNAME에 대한 DNS 질의를 다시 발생시켜, 상기 DNS 서버(130)로 전송하게 된다.
상기 유해 트래픽 차단 장치(120)는 상기 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과한 이후, 상기 클라이언트(110)로부터 DNS 질의가 전송되면, 상기 DNS 질의의 해시 값 무결성 여부를 확인한다.
예를 들어, 상기 DNS 질의에 해시 값이 포함되어 있지 않으면, 상기 유해 트래픽 차단장치(120)는 상기 DNS 질의에 소정의 해시 값(Hash Value)이 포함된 CNAME(Canonical Name)을 생성하여 상기 클라이언트(110)로 전달한다.
여기서, 상기 유해 트래픽 차단 장치(120)는 상기 DNS 질의가 정상적인 DNS 질의인지 아니면 유해 DNS 질의인지 여부를 판단하기 위해 상기 CNAME을 생성하여 상기 클라이언트(110)로 전달한다.
만약, 상기 클라이언트(110)가 정상적인 클라이언트(111)라면, 상기 CNAME에 대한 DNS 질의를 발생시켜 해시 값 무결성 여부가 확인될 것이고, 상기 클라이언트(110)가 좀비 클라이언트(114)라면, 상기 CNAME을 발생시켜 상기 좀비 클라이언트(114)로 전달하는 것 만으로 유해 트래픽을 차단하는 효과를 발생시키게 된다.
상기 DNS 질의에 해시 값이 포함되어 있으나, 상기 CNAME에 포함된 해시 값과 일치하지 않는 경우, 상기 유해 트래픽 차단 장치(120)는 상기 DNS 질의를 유해 트래픽으로 판단하여 상기 DNS 서버(130)로 전달하지 않는다.
이 경우, 상기 클라이언트(110)는 좀비 클라이언트(114)로서, 상기 유해 트 래픽 차단 장치(120)는 상기 좀비 클라이언트(114)가 발생시킨 DNS 질의가 상기 DNS 서버(130)로 전달되지 못하도록 차단한다.
상기 해시 값 무결성 확인 결과, 상기 DNS 질의의 해시 값 무결성이 확인되면, 상기 유해 트래픽 차단 장치(130)는 상기 해시 값을 제외한 원래의 DNS 질의를 상기 DNS 서버(130)로 전달한다.
이 경우, 상기 클라이언트(110)는 정상 클라이언트(111)로서, 상기 유해 트래픽 차단 장치(120)는 상기 정상 클라이언트(111)가 발생시킨 DNS 질의를 상기 DNS 서버(130)로 전달하여 해당 도메인에 대한 IP 주소를 획득할 수 있도록 한다.
상기 유해 트래픽 차단 장치(120)는 상기 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하지 않는 경우, 상기 클라이언트(110) 및 상기 DNS 서버(130) 사이에서 투명 프록시(Transparent Proxy)로 동작하게 된다.
상기 DNS 서버(130)는 상기 정상 클라이언트(110)의 DNS 질의에 대한 응답으로 해당 도메인의 IP 주소를 상기 유해 트래픽 차단 장치(120)를 통해 상기 정상 클라이언트(110)로 전송한다. 이때, 상기 유해 트래픽 차단 장치(120)는 투명 프록시로 동작하게 된다.
상기 DNS 서버(130)는 상기 정상 클라이언트(110)의 위치에 따라 상기 정상 클라이언트(110)의 위치에서 가장 가까운 복제 서버의 IP 주소를 알려준다.
도 3은 본 발명의 일 실시예에 따른 유해 트래픽 차단 장치의 구성을 나타낸 도면이다.
도 3을 참조하면, 유해 트래픽 차단 장치(120)는 투명 프록시 부(121), 트래픽 모니터부(123), CNAME(Canonical Name) 발생부(125), 해시 검증부(127), 및 제어부(129)를 포함한다.
상기 투명 프록시 부(121)는 정상 클라이언트(111)의 DNS 질의를 DNS 서버(130)로 전달하고, 상기 DNS 질의에 대한 상기 DNS 서버(130)의 응답(예를 들어, 상기 DNS 질의에 대한 해당 도메인의 IP 주소)을 상기 정상 클라이언트(111)로 전달한다.
이때, 상기 투명 프록시 부(121)는 투명 프록시(Transparent Proxy)로 동작한다. 따라서, 상기 정상 클라이언트(111)는 DNS 질의가 상기 투명 프록시 부(121)를 통해 상기 DNS 서버(130)로 전달되는 사실을 알지 못하며, 상기 DSN 서버(130)는 상기 DNS 질의에 대한 응답이 상기 투명 프록시 부(121)를 통해 상기 정상 클라이언트(111)로 전달되는 것을 알지 못한다.
또한, 상기 투명 프록시 부(121)는 상기 CNAME 발생부(125)가 생성한 CNAME을 상기 클라이언트(110)로 전송하며, 상기 CNAME에 대한 상기 클라이언트(110)의 응답을 수신한다.
상기 트래픽 모니터부(123)는 상기 클라이언트(110)에서 상기 DNS 서버(130)로 전송되는 DNS 질의의 트래픽 양을 실시간으로 모니터링하여, 상기 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하는지 여부를 확인한다.
상기 트래픽 모니터부(123)는 상기 클라이언트(110)에서 상기 DNS 서버(130)로 전송되는 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, 이상 트래픽 감지 신호를 발생시켜 상기 제어부(129)로 전달한다.
상기 CNAME 발생부(125)는 상기 이상 트래픽 감지 신호가 발생되는 경우, 소정의 해시 값(Hash Value)을 발생한 후, 해당 DNS 질의에 상기 발생한 해시 값을 포함하여 CNAME을 생성한다.
예를 들어, 상기 이상 트래픽 감지 신호가 발생한 당시 상기 클라이언트(110)로부터 전송된 DNS 질의가 www.example.com의 IP 주소를 묻는 질의였다면, 상기 CNAME 발생부(125)는 해시 값.www.example.com로 이루어지는 CNAME을 생성한다.
상기 CNAME 발생부(125)는 해시 함수를 이용하여 고유의 해시 값을 발생시키는데, 상기 해시 함수에 사용되는 파라미터로는 상기 DNS 질의에 따른 호스트 네임 및 비밀키(Secret Key)를 이용할 수 있다.
상기 비밀키는 기설정된 임의의 값으로, 상기 CNAME 발생부(125)는 비밀키 테이블을 구비하여 일정 주기로 또는 매번 비밀키를 변경하면서 사용할 수 있다. 이와 같이 상기 비밀키를 이용하여 해시 값을 발생시키면, 매번 해시 값을 저장하지 않아도 되므로 DDOS 공격이 계속된다 하여도 메모리 사용량이 늘어나지 않게 된다.
예를 들어, 상기 CNAME 발생부(125)는 다음의 표 1과 같은 비밀키 테이블을 구비할 수 있다. 여기서, 키 인덱스(Key Index)는 비밀 키를 선택하는데 사용된다.
Key Index Secret Key
00001 sadfjk3sdghasdjhf
00002 09dglkasdf2ldkgjd
00003 dk6asdfkd9dlfhads
.... ....
65534 9878dfl8dfl76dfdd
65535 87987adsfdffdf8dd
상기 CNAME 발생부(125)는 다음의 수학식 1을 통해 해시 값을 발생시킬 수 있다.
Hash Value = HASH(호스트 네임, 비밀키)
여기서, HASH는 해시 함수를 나타낸다. 해시 함수란, 임의의 문자열을 색인하는데 사용되며, 임의의 문자열을 고정된 길이의 출력값으로 변환하는 일종의 암호화 기술을 말한다.
상기 해시 함수에 사용되는 파라미터로는 상기 DNS 질의에 따른 호스트 네임 및 상기 비밀키 이외에 고유의 해시 값을 발생할 수 있는 다양한 파라미터(예를 들어, 시스템 가동 시간 등)를 이용할 수 있다.
상기 해시 값(Hash Value)으로 예를 들어, F43D22E4FB07BF617D573ACD8785C028이 발생하였다면, 상기 CNAME 발생부(125)는 F43D22E4FB07BF617D573ACD8785C028.www.example.com로 이루어지는 CNAME을 생성할 수 있다. 상기 해시 값은 상기 이상 트래픽 감지 신호가 발생된 이후, 상기 클라이언트(110)로부터 전송되는 DNS 질의의 해시 값 무결성 여부를 확인하는데 사용된 다.
상기 해시 검증부(127)는 상기 이상 트래픽 감지 신호가 발생된 이후, 상기 클라이언트(110)로부터 DNS 질의가 전송되는 경우, 상기 DNS 질의에 해시 값이 포함되어 있는지 여부를 확인하고, 해시 값이 포함된 경우 상기 포함된 해시 값과 상기 CNAME 발생부(125)가 발생한 해시 값이 일치하는지 여부를 확인하여 상기 DNS 질의의 해시 값 무결성 여부를 확인한다.
예를 들어, 상기 CNAME 발생부(125)가 F43D22E4FB07BF617D573ACD8785C028.www.example.com로 이루어지는 CNAME을 생성한 경우, 상기 투명 프록시 부(121)는 상기 CNAME을 상기 클라이언트(110)로 전송하게 된다.
이때, 상기 클라이언트(110)가 정상 클라이언트(111)라면, 상기 정상 클라이언트(111)는 F43D22E4FB07BF617D573ACD8785C028.www.example.com의 도메인 IP 주소를 묻는 DNS 질의를 발생시켜 상기 DNS 서버(130)로 전송하게 된다.
그러면, 상기 해시 검증부(127)가 상기 정상 클라이언트(111)로부터 전송된 상기 DNS 질의에 포함된 해시 값(예를 들어, F43D22E4FB07BF617D573ACD8785C028)과 상기 CNAME 발생부(125)가 발생한 해시 값(예를 들어, F43D22E4FB07BF617D573ACD8785C028)을 비교하여 상기 DNS 질의에 포함된 해시 값의 무결성 여부를 확인하게 된다.
한편, 상기 클라이언트(110)가 좀비 클라이언트(114)라면, F43D22E4FB07BF617D573ACD8785C028.www.example.com의 도메인 IP 주소를 묻는 DNS 질의를 발생시키지 않고, 계속해서 www.example.com의 도메인 IP 주소를 묻는 DNS 질의만을 발생시키게 된다.
그리고, 좀비 클라이언트(114)의 경우 대부분 자신의 IP 주소를 변경하면서 DDOS 공격을 하기 때문에, 상기 CNAME 자체를 수신할 수 없으며, 따라서 상기 좀비 클라이언트(114)에서는 상기 CNAME을 DNS 질의로 발생시킬 수 없게 된다.
또한, 상기 좀비 클라이언트(114)가 임의적으로 해시 값을 생성한 후, 해시 값이 포함된 DNS 질의를 발생시킬 수 있으나, 상기 CNAME 발생부(125)는 주기적으로 비밀키(Secret Key) 값을 변경하면서 해시 값을 생성하므로, 상기 좀비 클라이언트(114)가 생성한 해시 값은 상기 CNAME에 포함된 해시 값(즉, F43D22E4FB07BF617D573ACD8785C028)과 일치하지 않게 된다.
상기 제어부(129)는 각 구성 요소를 제어한다. 예를 들어, 상기 제어부(129)는 상기 트래픽 모니터부(123)로부터 이상 트래픽 감지 신호가 전송되지 않는 한, 상기 클라이언트(110)로부터 전송되는 DNS 질의를 상기 DNS 서버(130)로 전달하고, 상기 DNS 질의에 대한 상기 DNS 서버(130)의 응답을 상기 클라이언트(110)로 전달하도록 상기 투명 프록시 부(121)를 제어한다.
상기 제어부(129)는 상기 트래픽 모니터부(123)로부터 이상 트래픽 감지 신호가 전송되는 경우, 상기 이상 트래픽 감지 신호가 발생한 당시 상기 클라이언트(110)로부터 전송된 DNS 질의에 소정의 해시 값을 포함한 CNAME을 생성하도록 상 기 CNAME 발생부(125)를 제어한다.
상기 제어부(129)는 상기 CNAME 발생부(125)가 발생시킨 CNAME을 상기 클라이언트(110)로 전송하도록 상기 투명 프록시 부(121)를 제어한다.
상기 제어부(129)는 상기 이상 트래픽 감지 신호가 발생된 이후, 상기 클라이언트(110)로부터 DNS 질의가 전송되는 경우, 상기 DNS 질의의 해시 값 무결성 여부를 확인하도록 상기 해시 검증부(127)를 제어한다.
상기 제어부(129)는 상기 DNS 질의의 해시 값 무결성이 확인된 경우(즉, DNS 질의에 포함된 해시 값과 이전에 발생시킨 해시 값이 일치하는 경우), 상기 전송된 DNS 질의에서 상기 해시 값을 제외한 원래의 DNS 질의를 상기 DNS 서버(130)로 전송하도록 상기 투명 프록시 부(121)를 제어한다.
예를 들어, 상기 이상 트래픽 감지 신호가 발생된 이후, 상기 클라이언트(110)로부터 F43D22E4FB07BF617D573ACD8785C028.www.example.com의 도메인 IP 주소를 묻는 DNS 질의가 전송되고, 상기 DNS 질의에 포함된 해시 값(F43D22E4FB07BF617D573ACD8785C028)의 무결성이 확인된 경우, 상기 제어부(129)는 상기 전송된 DNS 질의에서 상기 해시 값을 제외한 원래의 DNS 질의 즉, www.example.com의 도메인 IP 주소를 묻는 DNS 질의를 상기 DNS 서버(130)로 전송하도록 상기 투명 프록시 부(121)를 제어한다.
이와 같이, 상기 제어부(129)는 상기 DNS 질의의 해시 값 무결성이 확인된 경우에만, 상기 클라이언트(110)의 원래 DNS 질의를 상기 DNS 서버(130)로 전송하도록 상기 투명 프록시 부(121)를 제어한다.
다시 말하면, 상기 제어부(129)는 상기 이상 트래픽 감지 신호가 발생된 이후, 상기 클라이언트(110)로부터 전송된 DNS 질의에 해시 값이 포함되어 있지 않은 경우, 상기 제어부(129)는 CNAME 발생부(125)를 통해 소정의 해시 값을 발생시키고, 상기 DNS 질의에 상기 해시 값을 포함시켜 CNAME을 생성한 후, 상기 투명 프록시부(121)를 통해 상기 CNAME을 상기 클라이언트(110)로 전송한다.
즉, 상기 클라이언트(110)로부터 전송된 DNS 질의에 해시 값이 포함되어 있지 않은 경우, 상기 제어부(129)는 상기 전송된 DNS 질의가 정상적인 DNS 질의인지 아니면 유해한 DNS 질의인지 여부를 확인하기 위해, 상기 CNAME을 상기 클라이언트(110)로 전송한다.
예를 들어, 상기 클라이언트(110)가 좀비 클라이언트(114)인 경우, 상기 좀비 클라이언트(114)는 상기 CNAME에 대한 응답으로 F43D22E4FB07BF617D573ACD8785C028.www.example.com의 도메인 IP 주소를 묻는 DNS 질의를 발생시키지 않고, 계속해서 www.example.com의 도메인 IP 주소를 묻는 DNS 질의만을 발생시키게 되는데, 여기에는 상기 CNAME 발생부(125)가 발생시킨 해시 값이 포함되지 않게 된다.
이 경우, 상기 제어부(129)는 상기 좀비 클라이언트(114)로부터 전송된 DNS 질의에 해시 값이 없으므로, 정상 DNS 질의인지 아니면 유해 DNS 질의 인지를 구분하기 위해, 상기 전송된 DNS 질의에 소정의 해시 값을 포함한 CNAME을 발생하여 상기 좀비 클라이언트(114)로 전송한다.
이때, 상기 좀비 클라이언트(114)로부터 전송된 DNS 질의를 상기 DNS 서 버(130)로 전달하지 않고, 상기 CNAME을 상기 좀비 클라이언트(114)로 전송함으로써, 좀비 클라이언트(114)의 상기 DNS 서버(130)를 향한 DDOS 공격을 효과적으로 차단할 수 있게 된다.
본 발명의 실시예들에 의하면, DNS 서버를 대상으로 DDOS와 같은 플러딩 공격(Flooding Attack)이 실행되는 경우, 정상 트래픽과 유해 트래픽을 구별하여 정상적인 DNS 질의만을 DNS 서버에 전달함으로써, DDOS의 공격 중에도 DNS 서버의 안정적인 서비스를 가능하게 할 수 있다.
이때, 상기 DDOS 공격에 대한 방어에 소요되는 데이터 처리량이 적으므로(해시 값의 무결성 여부만 확인하면 됨), 수 많은 플러딩 공격에 효율적으로 대처할 수 있다.
또한, 기존의 시스템(예를 들어, DNS 서버)의 설정 변경이 불필요하며, 유해 트래픽 차단 장치만 별도로 설치하면 되기 때문에, DDOS 공격과 같은 플러딩 공격에 손쉽게 대처할 수 있다.
도 4는 본 발명의 일 실시예에 따른 유해 트래픽 차단 방법을 나타낸 순서도이다.
도 4를 참조하면, 트래픽 모니터부(123)가 클라이언트(110)에서 DNS 서버(130)로 전송되는 DNS 질의의 트래픽 양을 모니터링하여(S 100), 상기 클라이언트(110)에서 DNS 서버(130)로 전송되는 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하는지 여부를 확인한다(S 101).
상기 단계 S 101의 확인 결과, 상기 클라이언트(110)에서 DNS 서버(130)로 전송되는 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, 상기 트래픽 모니터부(123)는 이상 트래픽 감지 신호를 발생시켜 제어부(129)로 전달한다(S 102).
상기 이상 트래픽 감지 신호가 상기 제어부(129)로 전달된 경우, CNAME 발생부(125)는 상기 제어부(129)의 제어에 따라, 해시 함수를 이용하여 소정의 해시 값을 발생시킨 후, 상기 이상 트래픽 감지 신호가 발생한 당시 상기 클라이언트(110)로부터 전송된 DNS 질의에 상기 해시 값을 포함시켜 CNAME을 생성한다(S 103).
상기 제어부(129)는 투명 프록시 부(121)를 통해 상기 생성한 CNAME을 상기 클라이언트(110)로 전송한다(S 104).
상기 제어부(129)는 상기 클라이언트(110)로부터 DNS 질의가 전송되는지 여부를 확인하여(S 105), 상기 클라이언트(110)로부터 DNS 질의가 전송되는 경우, 상기 전송된 DNS 질의에 해시 값이 포함되어 있는지 여부를 확인한다(S 106).
상기 단계 S 106의 확인 결과, 상기 전송된 DNS 질의에 해시 값이 포함되어 있지 않은 경우, 상기 제어부(129)는 상기 DNS 질의가 정상적인 DNS 질의인지 아니면 유해 DNS 질의인지 여부를 확인하기 위해, 상기 DNS 질의에 소정의 해시 값이 포함된 CNAME을 생성한다(S 107). 이 경우, 상기 제어부(129)는 단계 S 104로 되돌아가 상기 CNAME을 상기 클라이언트(114)로 전송하게 된다.
이때, 상기 클라이언트(110)가 정상적인 클라이언트(111)라면, 후술하는 과 정을 통해, 상기 CNAME에 대한 DNS 질의를 발생시켜 해시 값 무결성 여부가 확인되어 상기 DNS 질의가 상기 DNS 서버(130)로 전달될 것이고, 상기 클라이언트(110)가 좀비 클라이언트(114)라면, 상기 CNAME을 발생시켜 상기 좀비 클라이언트(114)로 전달하는 것으로 유해 트래픽을 차단하는 효과를 발생시키게 된다.
상기 단계 S 106의 확인 결과, 상기 전송된 DNS 질의에 해시 값이 포함되어 있는 경우, 상기 제어부(129)는 해시 검증부(127)를 통해 상기 해시 값이 상기 CNAME 발생부(125)가 발생시킨 해시 값과 일치하는지 여부를 확인한다(S 108).
상기 단계 S 108의 확인 결과, 상기 DNS 질의에 포함된 해시 값이 상기 CNAME 발생부(125)가 발생시킨 해시 값과 일치하지 않는 경우, 상기 제어부(129)는 상기 전송된 DNS 질의를 유해 트래픽으로 판단하여 차단한다(S 109).
상기 단계 S 108의 확인 결과, 상기 DNS 질의에 포함된 해시 값이 상기 CNAME 발생부(125)가 발생시킨 해시 값과 일치하는 경우, 상기 제어부(129)는 상기 전송된 DNS 질의에서 상기 해시 값을 제외한 원래 DNS 질의를 상기 DNS 서버(130)로 전송하도록 상기 투명 프록시 부(121)를 제어한다(S 110).
한편, 본 발명의 실시 예는 본 명세서에서 기술한 방법들을 컴퓨터상에서 수행하기 위한 프로그램을 포함하는 컴퓨터 판독 가능 기록매체를 포함할 수 있다. 상기 컴퓨터 판독 가능 기록매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 플로피 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
도 1은 DNS를 기반으로 하는 GSLB(Global Server Load Balancing) 시스템의 구성을 나타낸 도면.
도 2는 본 발명의 일 실시예에 따른 유해 트래픽 차단 장치를 이용한 DDOS 공격 차단 시스템의 구성을 나타낸 도면.
도 3은 본 발명의 일 실시예에 따른 유해 트래픽 차단 장치의 구성을 나타낸 도면.
도 4는 본 발명의 일 실시예에 따른 유해 트래픽 차단 방법을 나타낸 순서도.
* 도면의 주요 부분에 대한 부호의 설명 *
110 : 클라이언트 120 : 로컬 DNS 서버
130 : 유해 트래픽 차단 장치 131 : 투명 프록시 부
133 : 트래픽 모니터부 135 : 해시 발생부
137 : 해시 검증부 139 : 제어부
140 : DNS 서버

Claims (12)

  1. 클라이언트의 DNS 질의를 DNS 서버로 전달하고, 상기 DNS 질의에 대한 상기 DNS 서버의 응답을 상기 클라이언트로 전달하는 투명 프록시 부;
    상기 클라이언트에서 상기 DNS 서버로 전달되는 DNS 질의의 트래픽 양을 모니터링하여 기설정된 트래픽 양을 초과하면, 이상 트래픽 감지 신호를 발생시키는 트래픽 모니터부;
    상기 이상 트래픽 감지 신호가 발생하는 경우, 소정의 해시 값을 발생시키고 상기 이상 트래픽 감지 신호가 발생할 당시 전송된 DNS 질의에 상기 해시 값을 포함하여 CNAME(Canonical Name)을 생성하는 CNAME 발생부;
    상기 이상 트래픽 감지 신호를 발생시킨 후, 상기 클라이언트로부터 전송되는 DNS 질의에 대해 해시 값 무결성 여부를 확인하는 해시 검증부; 및
    상기 CNAME을 상기 클라이언트로 전송하도록 상기 투명 프록시 부를 제어하고, 상기 이상 트래픽 감지 신호 발생 후 상기 클라이언트로부터 전송되는 DNS 질의에 대해 해시 값 무결성 여부가 확인되지 않는 경우, 상기 전송되는 DNS 질의를 유해 트래픽으로 판단하고, 상기 이상 트래픽 감지 신호 발생 후 상기 클라이언트로부터 전송되는 DNS 질의에 대해 해시 값 무결성 여부가 확인된 경우, 상기 DNS 질의에서 해시 값을 제외한 원래 DNS 질의를 상기 DNS 서버로 전송하도록 상기 투명 프록시 부를 제어하는 제어부를 포함하는, 유해 트래픽 차단 장치.
  2. 제1항에 있어서,
    상기 제어부는,
    상기 이상 트래픽 감지 신호 발생 후 상기 클라이언트로부터 전송되는 DNS 질의에 해시 값이 포함되어 있지 않은 경우, 상기 DNS 질의에 소정의 해시 값이 포함된 CNAME을 발생시켜 상기 클라이언트로 전송하는, 유해 트래픽 차단 장치.
  3. 제1항에 있어서,
    상기 제어부는,
    상기 이상 트래픽 감지 신호 발생 후 상기 클라이언트로부터 전송되는 DNS 질의에 DNS 질의에 해시 값이 포함되어 있는 경우, 상기 DNS 질의에 포함된 해시 값과 상기 CNAME 발생부가 발생시킨 해시 값이 일치하지 않으면, 상기 DNS 질의를 유해 트래픽으로 판단하는, 유해 트래픽 차단 장치.
  4. 삭제
  5. 제1항에 있어서,
    상기 CNAME 발생부는,
    상기 DNS 질의에 따른 호스트 네임 및 비밀키(Secret Key)를 이용하여 상기 해시 값을 발생시키는, 유해 트래픽 차단 장치.
  6. 제1항에 있어서,
    상기 유해 트래픽 차단 장치는,
    상기 클라이언트에서 상기 DNS 서버로 전달되는 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하지 않는 경우, 상기 클라이언트 및 상기 DNS 서버 사이에서 투명 프록시(Transparent Proxy)로 동작하는, 유해 트래픽 차단 장치.
  7. (A) 트래픽 모니터부가 클라이언트에서 DNS 서버로 전달되는 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하는지 여부를 확인하는 단계;
    (B) 상기 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, CNAME 발생부가 상기 DNS 질의에 소정의 해시 값이 포함된 CNAME을 생성하는 단계;
    (C) 제어부가 투명 프록시부를 통해 상기 생성한 CNAME을 상기 클라이언트로 전송한 후, 상기 클라이언트로부터 DNS 질의가 전송되는지 여부를 확인하는 단계; 및
    (D) 상기 클라이언트로부터 상기 DNS 질의가 전송되는 경우, 상기 제어부가 해시 검증부를 통해 상기 DNS 질의에 대해 해시 값 무결성 여부를 확인하여, 상기 클라이언트로부터 전송되는 DNS 질의에 대해 해시 값 무결성 여부가 확인되지 않는 경우, 상기 전송되는 DNS 질의를 유해 트래픽으로 판단하고, 상기 클라이언트로부터 전송되는 DNS 질의에 대해 해시 값 무결성 여부가 확인된 경우, 상기 DNS 질의에서 해시 값을 제외한 원래 DNS 질의를 상기 DNS 서버로 전송하는 단계를 포함하는, 유해 트래픽 차단 방법.
  8. 제7항에 있어서,
    상기 (B) 단계는,
    (B-1) 상기 DNS 질의의 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, 상기 트래픽 모니터부가 이상 트래픽 감지 신호를 발생시키는 단계;
    (B-2) 상기 CNAME 발생부가 소정의 해시 값을 발생시키는 단계; 및
    (B-3) 상기 CNAME 발생부가 상기 이상 트래픽 감지 신호가 발생할 당시 전송된 DNS 질의에 상기 해시 값을 포함시켜 CNAME을 생성하는 단계를 포함하는, 유해 트래픽 차단 방법.
  9. 제8항에 있어서,
    상기 (D) 단계는,
    (D-1) 상기 제어부가 상기 해시 검증부를 통해 상기 이상 트래픽 감지 신호 발생 후, 상기 클라이언트로부터 전송된 DNS 질의에 해시 값이 포함되어 있는지 여부를 확인하는 단계; 및
    (D-2) 상기 DNS 질의에 해시 값이 포함되어 있지 않은 경우, 상기 제어부가 상기 CNAME 발생부를 통해 소정의 해시 값을 발생시켜 상기 DNS 질의에 상기 해시 값이 포함된 CNAME을 생성한 후, 상기 CNAME을 상기 클라이언트로 전송하는 단계를 포함하는, 유해 트래픽 차단 방법.
  10. 제9항에 있어서,
    상기 (D-1) 단계 이후에,
    (D-11) 상기 DNS 질의에 해시 값이 포함되어 있는 경우, 상기 제어부는 상기 해시 검증부를 통해 상기 DNS 질의에 포함된 해시 값과 상기 CNAME 발생부가 발생시킨 해시 값이 일치하는지 여부를 확인하는 단계; 및
    (D-12) 상기 DNS 질의에 포함된 해시 값과 상기 CNAME 발생부가 발생시킨 해시 값이 일치하지 않는 경우, 상기 제어부가 상기 DNS 질의를 유해 트래픽으로 판단하는 단계를 포함하는, 유해 트래픽 차단 방법.
  11. 제10항에 있어서,
    (D-121) 상기 DNS 질의에 포함된 해시 값과 상기 CNAME 발생부가 발생시킨 해시 값이 일치하는 경우, 상기 제어부가 투명 프록시 부를 통해 상기 DNS 질의에서 해시 값을 제외한 원래 DNS 질의를 상기 DNS 서버로 전송하는 단계를 포함하는, 유해 트래픽 차단 방법.
  12. 제7항 내지 제11항 중 어느 하나의 항에 기재된 유해 트래픽 차단 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터 판독가능 기록매체.
KR1020090106278A 2009-11-05 2009-11-05 유해 트래픽 차단 장치 및 방법 KR101063321B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090106278A KR101063321B1 (ko) 2009-11-05 2009-11-05 유해 트래픽 차단 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090106278A KR101063321B1 (ko) 2009-11-05 2009-11-05 유해 트래픽 차단 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20110049311A KR20110049311A (ko) 2011-05-12
KR101063321B1 true KR101063321B1 (ko) 2011-09-07

Family

ID=44360467

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090106278A KR101063321B1 (ko) 2009-11-05 2009-11-05 유해 트래픽 차단 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101063321B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102157682B1 (ko) * 2015-08-17 2020-09-18 에스케이텔레콤 주식회사 Sdn 기반의 트래픽 처리 장치 및 그 방법
US11558269B2 (en) 2018-07-27 2023-01-17 Nokia Solutions And Networks Oy Method, device, and system for network traffic analysis
CN111092966B (zh) * 2019-12-30 2022-04-26 中国联合网络通信集团有限公司 域名系统、域名访问方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080104182A1 (en) * 2006-10-26 2008-05-01 Kabushiki Kaisha Toshiba Server apparatus and method of preventing denial of service attacks, and computer program product
KR100900491B1 (ko) 2008-12-02 2009-06-03 (주)씨디네트웍스 분산 서비스 거부 공격의 차단 방법 및 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080104182A1 (en) * 2006-10-26 2008-05-01 Kabushiki Kaisha Toshiba Server apparatus and method of preventing denial of service attacks, and computer program product
KR100900491B1 (ko) 2008-12-02 2009-06-03 (주)씨디네트웍스 분산 서비스 거부 공격의 차단 방법 및 장치

Also Published As

Publication number Publication date
KR20110049311A (ko) 2011-05-12

Similar Documents

Publication Publication Date Title
US11405417B2 (en) Distributed denial of service (DDoS) defense techniques for applications hosted in cloud computing platforms
Birge-Lee et al. Bamboozling certificate authorities with {BGP}
Bauer et al. Low-resource routing attacks against Tor
US9680951B1 (en) Method and apparatus for causing delay in processing requests for internet resources received from client devices
CN102571547B (zh) 一种http流量的控制方法及装置
EP3557843B1 (en) Content delivery network (cdn) bot detection using compound feature sets
US11882149B2 (en) Responding to search requests based on referrer
Khormali et al. Domain name system security and privacy: A contemporary survey
Soltani et al. A survey on real world botnets and detection mechanisms
Schomp et al. Akamai dns: Providing authoritative answers to the world's queries
Satam et al. Anomaly Behavior Analysis of DNS Protocol.
Deng et al. Pollution attacks and defenses for internet caching systems
Wang et al. Detecting and mitigating interest flooding attacks in content‐centric network
Nguyen et al. DGA botnet detection using collaborative filtering and density-based clustering
US9680950B1 (en) Method and apparatus for causing delay in processing requests for internet resources received from client devices
KR101063321B1 (ko) 유해 트래픽 차단 장치 및 방법
KR20110059963A (ko) 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템
Al-Qudah et al. DDoS protection as a service: hiding behind the giants
RU2601147C2 (ru) Система и способ выявления целевых атак
Pillai et al. Smart wallets on blockchain—attacks and their costs
Ribeiro et al. Content pollution mitigation for content-centric networking
Buragohain et al. Demystifying security on NDN: A survey of existing attacks and open research challenges
Ramanujan et al. A survey on DDoS prevention, detection, and traceback in cloud
Wang et al. Further analyzing the sybil attack in mitigating peer-to-peer botnets
Al-Duwairi et al. Preventing DDoS attacks in path identifiers-based information centric networks

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140603

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150629

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160701

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170629

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180625

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190701

Year of fee payment: 9