KR101069341B1 - 분산 서비스 거부 공격 생성 방지 장치 - Google Patents

분산 서비스 거부 공격 생성 방지 장치 Download PDF

Info

Publication number
KR101069341B1
KR101069341B1 KR1020090130867A KR20090130867A KR101069341B1 KR 101069341 B1 KR101069341 B1 KR 101069341B1 KR 1020090130867 A KR1020090130867 A KR 1020090130867A KR 20090130867 A KR20090130867 A KR 20090130867A KR 101069341 B1 KR101069341 B1 KR 101069341B1
Authority
KR
South Korea
Prior art keywords
attack
distributed denial
service
terminal
service attack
Prior art date
Application number
KR1020090130867A
Other languages
English (en)
Other versions
KR20110074028A (ko
Inventor
이종택
Original Assignee
(주)디넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)디넷 filed Critical (주)디넷
Priority to KR1020090130867A priority Critical patent/KR101069341B1/ko
Publication of KR20110074028A publication Critical patent/KR20110074028A/ko
Application granted granted Critical
Publication of KR101069341B1 publication Critical patent/KR101069341B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 사용자 단말에서 발생하는 분산 서비스 공격에 해당하는 데이터를 유형별로 인식하여 원천 차단하도록 한 분산 서비스 거부 공격 생성 방지 장치에 관한 것으로, 더욱 상세하게는 공격자에 의해 감염된 단말에서 발생하는 악성 통신 데이터를 인식하여 원천 차단함으로써 공격 트래픽을 발생하지 않도록 하여 공격 대상 사이트를 보호하며, 분산 서비스 공격을 유형별로 인식하여 차단함으로써 다양한 종류의 공격에 대해 대응 가능하도록 하고, 특정 사이트가 분산 서비스 공격으로 인해 접속이 불가능할 경우 우회 접속 경로를 제공함으로써 분산 서비스 공격과 관계없는 정상 사용자는 우회 접속 경로로 접속하도록 하여 사용자의 편의성을 증대시키며, 공격 방지 장비가 관리하는 단말에서 공격 발생시 상기 장비를 제어하는 관제센터 서버 및 사용자에게 경보를 발생하거나 공격 대상 IP를 차단함으로써 상기 관제센터 서버 및 사용자가 해당 공격에 신속히 대응 가능하도록 하고, 공격 방지 장비가 관제센터 서버로 주기적으로 통신 데이터 및 이상상황을 전송함으로써 관제센터 서버가 전송받은 데이터를 이용하여 정상 통신 트래픽을 예측하고 변경 가능하도록 하여 분산 공격에 대해 능동적으로 대응할 수 있는 효과가 있다.
DDOS, 분산 서비스 공격, 네트워크, 보안, 보안 장비

Description

분산 서비스 거부 공격 생성 방지 장치{APPARATUS FOR PREVENTING DISTRIBUTED DENIAL OF SERVICE ATTACK CREATION}
본 발명은 사용자 단말에서 발생하는 분산 서비스 공격에 해당하는 데이터를 유형별로 인식하여 원천 차단하도록 한 분산 서비스 거부 공격 생성 방지 장치에 관한 것으로, 특히 공격자에 의해 감염된 단말에서 발생하는 악성 통신 데이터를 인식하여 원천 차단하고, 분산 서비스 공격을 유형별로 인식하여 차단하며, 특정 사이트가 분산 서비스 공격으로 인해 접속이 불가능할 경우 우회 접속 경로를 제공하고, 공격 방지 장비가 관리하는 단말에서 공격 발생시 상기 장비를 제어하는 관제센터 서버 및 사용자에게 경보를 발생하거나 공격 대상 IP를 차단하며, 공격 방지 장비가 관제센터 서버로 주기적으로 통신 데이터 및 이상상황을 전송하고, 공격 방지 장비를 IPTV나 디지털 CATV의 셋톱박스 등에 탑재 가능하도록 한 분산 서비스 거부 공격 생성 방지 장치에 관한 것이다.
최근 인터넷의 급속한 확산과 정보통신 기술의 발달로 인하여 업무나 비즈니 스의 대부분이 인터넷으로 연결되어서 제공되고 있는 실정이다. 이러한 상황에서 네트워크나 서버로의 접속이 차단되는 것은 단순한 불편함을 주는 것을 벗어나 회사에 치명적인 영향을 줄 수도 있게 되었다. 이처럼 특정 서버에 대해 접속 차단이나 기능 장애를 목적으로 컴퓨터 시스템 보안을 침해하는 한 형태로서, 정보를 몰래 빼내거나 그 외의 다른 보안 상실을 유발하지는 않지만 특정 서버나 네트워크를 대상으로 자원을 고갈시켜 접속 불능 상태를 유도하거나 정상 기능을 무력화시키는 공격 방법을 서비스 거부(DOS: Denial Of Service) 공격이라 하며, 표적이 된 개인이나 기업에 시간과 비용 측면에서 커다란 희생을 요구한다. 또한, 특정 공격자가 수십에서 많게는 수천에 이르는 컴퓨터를 감염시켜 좀비PC(Zombie PC: 바이러스나 봇(Bot)등에 감염되어 외부의 악의적인 공격자에게 원격으로 조정되는 PC)화 한 후 특정 서버를 대상으로 동시에 서비스 거부 공격을 시도하게 하여 해당 서버를 무력화시키는 것을 분산 서비스 거부(DDOS: Distiributed Denial Of Service) 공격이라 한다.
최근 일부 악의적인 공격자에 의해 보안에 취약한 일반 사용자의 컴퓨터가 사용자 자신도 모르게 바이러스나 봇에 감염되어 이러한 분산 서비스 거부 공격의 좀비PC로 활용되는 경우가 자주 발생하며, 이로 인해 이러한 분산 서비스 공격의 피해를 입은 특정 서버나 네트워크의 복구 비용이나 공격의 방어를 위한 장비의 구축 비용도 만만치 않아 사회적인 이슈가 되고 있는 실정이다.
도 1은 분산 서비스 거부(DDOS) 공격의 예시도로서, 특정 공격자(10)가 악의 적인 목적으로 바이러스나 봇(Bot)을 퍼뜨려 여러 대의 단말을 감염시킨다. 이러한 감염 단말(20)에 설치된 봇(Bot)은 DNS서버(40)로 특정 서버의 URL을 질의하여 IP를 찾아낸 후, 특정 일시에 해당 서버(50)를 대상으로 동시에 공격을 개시(25,35)하여 해당 서버(50)를 무력화시키게 된다. 또는, 도시하지는 않았지만 상기 공격자(10)가 다수의 감염 단말(20)을 확보한 상태에서 IRC(Internet Relay Chat) 서버 같은 제어 서버를 활용하여 공격 개시 명령(15)을 내릴 수 있다. 이러한 DDoS공격은 그 공격 유형에 따라 방어장비를 보유하고 있는 서버라 할지라도 통신 데이터 트래픽이 발생되는 양에 따라서 방어를 하기 전에 ISP(Internet Service Provider)의 네트워크 자원(30)을 고갈시킬 수 있다. 따라서, 해당 네트워크를 운영하는 ISP사(30)는 전체 ISP서비스에 영향을 주지 않기 위해 공격 대상 IP가 탐지되면 공격대상의 IP주소를 Null처리함으로 해서 네트워크에 악성 트래픽이 흘러갈 수 없게 만들어 ISP차원에서의 서비스 안정성을 유지하고 있다. 이러한 Null Routing(31)은 ISP의 안정성은 보장할 수 있지만 공격 대상이 된 서버(50)로의 접근을 완전히 막아버림으로 해서 공격자의 목적인 서비스 중단 현상을 피할 수 없게 된다. 또한, ISP간의 연동망에서는 대역폭의 대부분을 정상 트래픽이 사용하고 있는 상황에서 공격 트래픽이 발생되면 각 ISP에서는 전체 연동망의 안정성을 위해 상대망에 있는 공격대상 IP에 대해서 Null Routing처리를 함으로써 가입된 ISP에 따라 서비스가 중단되는 경우도 발생하게 된다.
이와 같은 분산 서비스 거부 공격의 종류로는 TCP(Transmission Control Protocol)의 신호 종류인 SYN, ACK, RST등에 의한 서버자원 고갈형 공격, ICMP, UDP등 회선 대역폭 고갈형 공격, Non IP Flooding, Fragment등 네트워크 장비 자원 고갈형 공격으로 나눌 수 있다.
도 2는 서버 자원 고갈형 공격의 일 예인 Syn Flooding의 예시도로서, 도 2(a)는 TCP 세션을 맺을 때 정상적인 상태이며, 도 2(b)는 비정상적인 공격의 형태이다. 도 2(a)처럼 단말(20)은 세션을 맺기 위해 Syn을 전송하고, 상기 Syn를 전송받은 서버(50)는 해당 Syn의 응답으로 Syn+Ack를 상기 단말로 전송한다. 상기 Syn+Ack를 전송받은 단말(20)은 그 응답으로 Ack를 상기 서버(50)로 전송함으로써 세션을 맺게 된다. 이러한 정상적인 경우 서버의 Listen Queue(55)는 정상적인 처리가 이루어지게 되나, 도 2(b)의 경우처럼 감염 단말(20)이 대량의 Syn를 서버(50)로 전송하면 해당 서버의 Listen Queue(55)는 처리가 불가능하여 정상적인 단말에서 요구하는 접속 요청도 처리할 수 없게 된다. 또는 ICMP/UDP 패킷을 다량으로 유발시켜서 네트워크의 병목 및 시스템의 과부하를 일으키는 회선 대역폭 고갈형 공격이나 존재하지 않는 IP를 네트워크 장비로 전송하여 네트워크 장비의 자원을 고갈시키는 공격 형태도 분산 서비스 거부 공격의 일 예이다.
이처럼, 분산 서비스 거부 공격이 사회적인 이슈가 되고 있고 그 공격에 따른 피해 복구 비용 또는 공격 예방을 위한 장비의 유지 비용등 사회적인 비용도 증가하는 추세이지만, 단순히 ISP사의 Null Routing이나 서비스 서버에 공격 방지 장비를 연결하여 서비스하는 것만으로는 점점 지능화되는 분산 서비스 공격을 차단하 기가 쉽지않은 실정이다. 위에서 살펴본 바와 같이, 악의적인 공격에 의해 발생하는 통신 트래픽은 정상적인 트래픽과는 다른 형태를 띠고 있는 것이 특징이다. 따라서, 이러한 악성 트래픽이 발생하지 않도록 사용자 단말등에 연결하여 그 유형별로 악성 트래픽을 분류하여 원천 차단하며, 정상적인 사용자 단말은 특정 공격 대상 IP대신 우회하는 경로를 이용하여 공격 대상 서버로의 정상적인 접속이 가능하게 함으로써 단말, 서버 및 네트워크 자원을 정상 상태로 유지하고 분산 서비스 거부 공격의 생성을 방지할 수 있게 하는 분산 서비스 거부 공격 생성 방지 장치가 요구된다.
전술한 문제점을 개선하기 위한 본 발명 실시 예들의 목적은 공격자에 의해 감염된 단말에서 발생하는 악성 통신 데이터를 인식하여 원천 차단함으로써 공격 트래픽을 발생하지 않도록 한 분산 서비스 거부 공격 생성 방지 장치를 제공하는 것이다.
본 발명 실시 예들의 다른 목적은 분산 서비스 공격을 유형별로 인식하여 차단함으로써 다양한 종류의 공격에 대해 대응 가능하도록 한 분산 서비스 거부 공격 생성 방지 장치를 제공하는 것이다.
본 발명 실시 예들의 또 다른 목적은 특정 사이트가 분산 서비스 공격으로 인해 접속이 불가능할 경우 우회 접속 경로를 제공함으로써 분산 서비스 공격과 관계없는 정상 사용자는 우회 접속 경로로 접속하도록 한 분산 서비스 거부 공격 생성 방지 장치를 제공하는 것이다.
본 발명 실시 예들의 또 다른 목적은 공격 방지 장비가 관리하는 단말에서 공격 발생시 상기 장비를 제어하는 관제센터 서버 및 사용자에게 경보를 발생하거나 공격 대상 IP를 차단함으로써 상기 관제센터 서버 및 사용자가 해당 공격에 신속히 대응 가능하도록 한 분산 서비스 거부 공격 생성 방지 장치를 제공하는 것이다.
본 발명 실시 예들의 또 다른 목적은 공격 방지 장비가 관제센터 서버로 주기적으로 통신 데이터 및 이상상황을 전송함으로써 관제센터 서버가 전송받은 데이 터를 이용하여 정상 통신 트래픽을 예측하고 변경 가능하도록 한 분산 서비스 거부 공격 생성 방지 장치를 제공하는 것이다.
본 발명 실시 예들의 또 다른 목적은 공격 방지 장비를 IPTV나 디지털 CATV의 셋톱박스 등에 탑재 가능하도록 함으로써 상기 셋톱박스의 감염을 방지하도록 한 분산 서비스 거부 공격 생성 방지 장치를 제공하는 것이다.
상기한 목적을 달성하기 위하여 본 발명에 따른 분산 서비스 거부 공격 생성 방지 장치는 인터넷으로 통신 가능한 단말과 연결되어 기 설정된 기준에 따라 상기 단말 통신 데이터의 분산 서비스 거부 공격 여부를 감시하며, 분산 서비스 거부 공격에 감염되지 않은 단말이 분산 서비스 거부 공격의 대상인 사이트의 접속을 요청할 경우 해당 사이트로 정상적인 접속이 가능한 우회 접속 경로를 제공하는 공격 방지 장비, 복수의 상기 공격 방지 장비를 관리하고, 특정 사이트에 분산 서비스 거부 공격의 발생시 해당 사이트의 정상적인 접속이 가능한 우회 접속 경로를 외부로부터 입수하여 상기 복수의 공격 방지 장비로 제공하는 관제센터 서버를 포함한다.
상기 공격 방지 장비는 자신과 연결된 PC, 셋톱박스, VoIP 전화기의 통신 데이터를 감시하여, 악성 데이터라고 판단될 경우 접속 차단 또는 사용자에게 경고를 하거나 정상적인 사용자에게 우회경로를 제공한다. 또한, 상기 공격 방지 장비는 공유기에 포함하여 구성되거나 또는 네트워크 설정 기능이 포함된 임의의 장비나 단말에 적용할 수 있다.
상기 관제센터 서버는 복수의 공격 방지 장비와 통신 가능하며, 상기 공격 방지 장비는 자신이 감시하는 통신 데이터를 주기적 또는 비주기적으로 상기 관제센터 서버로 전송한다. 상기 관제센터 서버는 복수의 공격 방지 장비로부터 상기 통신 데이터를 수집하여 정상 통신 트래픽의 기준을 설정하고, 기준이 변경되었을 경우 변경된 기준을 상기 공격 방지 장비들로 전송한다.
상기 관제센터 서버는 상기 공격 방지 장비들의 고유 정보를 저장하고 있으며, 각각의 공격 방지 장비들이 외부 장치와 연결되었을 경우 그에 관한 정보도 저장한다.
상기 관제센터 서버는 특정 사이트에 분산 서비스 공격이 발생할 경우 그 정보를 입수하여 해당 사이트로 우회접속이 가능한 IP를 상기 공격 방지 장비로 전송함으로써 상기 공격 방지 장비와 연결된 정상적인 단말이 해당 사이트가 분산 서비스 공격을 당하고 있는 경우에도 접속 가능하도록 해당 사이트의 우회 접속 경로 정보를 제공한다.
또한, 상기 공격 방지 장비는 장비 상황을 별도의 지정된 통신 포트를 이용하여 주기적으로 상기 관제센터 서버로 업데이트하여 상기 관제센터 서버가 자신이 관리하는 복수의 공격 방지 장비의 전체 상황을 모니터링할 수 있도록 한다. 즉, TCP등 통신 프로토콜을 이용한 클라이언트 서버 간 통신의 형태를 통해 해당 장비의 현재 상황을 주기적으로 상기 관제센터 서버로 업데이트 하거나 또는 감염 단말의 발생, 장비결함, 전원부족 등의 이상 상황 발생시 상기 지정된 통신 포트를 통 해 신속히 해당 상황을 전송함으로써 상기 관제센터 서버에서 이상상황을 감지하여 조치를 취하게 할 수 있다.
더불어, 상기 공격 방지 장비가 가정용 네트워크의 가장 앞 단에 설치되는 경우, 상기 관제센터 서버가 해당 장비의 고유 시리얼넘버를 통해 DDNS 형태로 관리하도록 한다. 반대로, 상기 공격 방지 장비가 가정용 네트워크의 공유기 안쪽에서 동작하는 경우에는 상기 공격 방지 장비가 관제센터 서버에 접속하는 순간 해당 장비의 공인IP를 파악하여 추적 관리가 가능하도록 구성할 수도 있다.
본 발명 실시 예들에 따른 분산 서비스 거부 공격 생성 방지 장치는 공격자에 의해 감염된 단말에서 발생하는 악성 통신 데이터를 인식하여 원천 차단함으로써 공격 트래픽을 발생하지 않도록 하여 공격 대상 사이트를 보호하는 효과가 있다.
본 발명 실시 예들에 따른 분산 서비스 거부 공격 생성 방지 장치는 분산 서비스 공격을 유형별로 인식하여 차단함으로써 다양한 종류의 공격에 대해 대응 가능하도록 하여 보안성을 확장시키는 효과가 있다.
본 발명 실시 예들에 따른 분산 서비스 거부 공격 생성 방지 장치는 특정 사이트가 분산 서비스 공격으로 인해 접속이 불가능할 경우 우회 접속 경로를 제공함으로써 분산 서비스 공격과 관계없는 정상 사용자는 우회 접속 경로로 접속하도록 하여 사용자의 편의성을 증대시키는 효과가 있다.
본 발명 실시 예들에 따른 분산 서비스 거부 공격 생성 방지 장치는 공격 방지 장비가 관리하는 단말에서 공격 발생시 상기 장비를 제어하는 관제센터 서버 및 사용자에게 경보를 발생하거나 공격 대상 IP를 차단함으로써 상기 관제센터 서버 및 사용자가 해당 공격에 신속히 대응 가능하도록 하여 피해 확산을 초기에 방지하는 효과가 있다.
본 발명 실시 예들에 따른 분산 서비스 거부 공격 생성 방지 장치는 공격 방지 장비가 관제센터 서버로 주기적으로 통신 데이터 및 이상상황을 전송함으로써 관제센터 서버가 전송받은 데이터를 이용하여 정상 통신 트래픽을 예측하고 변경 가능하도록 하여 분산 공격에 대해 능동적으로 대응할 수 있는 효과가 있다.
본 발명 실시 예들에 따른 분산 서비스 거부 공격 생성 방지 장치는 공격 방지 장비를 IPTV나 디지털 CATV의 셋톱박스 등에 탑재 가능하도록 하여 상기 셋톱박스의 감염을 방지하도록 하여 상기 셋톱박스 및 네트워크 자원의 부당 이용을 막고 해당 서비스 제공의 안정성을 증대시키는 효과가 있다.
상기한 바와 같은 본 발명을 첨부된 도면들과 실시 예들을 통해 상세히 설명하도록 한다.
도 3은 본 발명의 제 1 실시 예에 따른 분산 서비스 거부 공격 생성 방지 장치의 구성도로서, 상기 분산 서비스 거부 공격 생성 방지 장치(100)는 PC(20), 케이블 TV를 위한 셋톱박스(21) 및 VoIP 전화기(22)와 연결된 네트워크 공유기 모 듈(60), 상기 공유기 모듈(60)에서 전송되는 통신 데이터를 감시하고 악성 데이터인지 판단하는 분산 서비스 거부 공격 방지 모듈(70)을 포함한다.
상기 분산 서비스 거부 공격 생성 방지 장치(100)는 상기 PC(20), 셋톱박스(21), VoIP 전화기(22)에서 발생하는 통신 데이터를 감시하며, 프로토콜 레이어(Layer) 기준에 따라 기 설정된 악성 데이터의 분류 기준을 이용하여 악성 통신 데이터를 판단하고 적절한 후속 동작을 수행한다. 즉, 상기 공격 방지 모듈(70)에서 감시하는 데이터가 악성 통신 데이터라고 판단할 경우, 공격 발생 경보 웹페이지를 PC(20)의 웹브라우저의 화면에 주기적으로 전송하여 공격사실을 인지시키거나 백신사이트에 대한 공지 동작을 수행하거나 또는 사용자의 대응이 없거나 자리를 비운 사이에 공격이 발생하는 경우를 대비하여 해당 PC에서 다른 IP로의 트래픽이 발생하지 않으면 경보없이 자동으로 공격 대상 IP에 대해서 차단하는 동작을 수행한다. 이를 위해 상기 PC(20), 셋톱박스(21), VoIP전화기(22)에 상기 공격 방지 모듈(70)과 인터페이스가 가능한 드라이버를 설치할 수 있다.
또한, 상기 공격 방지 모듈(70)은 상기 공격 방지 모듈(70)에 연결된 단말(20,21,22)들의 정보를 저장하고 있으며, 연결된 단말(20,21,22) 중 일부가 감염되어 특정 서버(50)로 공격이 개시되었을 경우, 상기 공격 방지 모듈(70)과 연결된 전체 단말(20,21,22)이 특정 서버(50)로 접속하는 것을 차단한다면 그 중 정상적인 단말에서 상기 특정 서버(50)로의 정상적인 접속 요청마저 차단되기 때문에 정상적인 단말의 접속 요청에 대한 우회 접속 경로를 제공하도록 하여 정상 단말의 안정적인 접속과 해당 특정 서버의 연속적인 서비스 운영을 보장한다.
더욱 자세히 설명하면, 상기 공격 방지 모듈(70)은 외부에 존재하는 DNS 서버(40)의 DNS정보보다 우선적으로 적용되는 DNS 리스트(71)를 내부에 기 저장하고 있으며, 사용자 단말(20,21,22)에서 URL에 대해서 DNS질의가 들어오면, 해당 DNS가 기 저장된 상기 DNS 리스트(71)에 존재할 경우 상기 공격 방지 모듈(70) 자체의 IP 및 포트번호(Port Number)를 회신한다. 이후, 상기 공격 방지 모듈(70)은 기 저장된 상기 DNS 리스트(71)의 외부 IP로 포트 포워딩 방식을 통해 접속한다. 즉, 일반 DNS질의를 통해서 알 수 있는 특정 사이트의 IP가 DDOS 공격으로 인해 접속 장애가 발생중일 경우, 상기 공격 방지 모듈(70)은 서비스 거부 공격에 감염된 단말의 경우 접속 차단 등의 조치를 취하며, 정상적인 단말에 한해 해당 사이트(50)의 우회 접속 IP를 제공하여 사용자 단말에서는 외부의 IP를 전혀 알 수 없이 상기 공격 방지 모듈(70)에서 제공하는 우회경로를 통해서 해당 사이트(50)의 서비스에 접속할 수 있다. 또한, 도시하지는 않았지만 감염 단말이 상기 공격 방지 모듈(70)을 통해 접속할 경우 공격 대상 IP 대신 상기 공격 방지 모듈(70)과 연결된 외부 방어 시스템에 접속하도록 하여 공격 대상 IP를 보호하게 구성될 수도 있다.
이때, 상기 우선순위가 높은 DNS리스트(71)는 상기 공격 방지 모듈(70)과 연결된 외부 장치에 의해 업데이트 될 수 있다.
이처럼 상기 공격 방지 모듈(70)은 공격자에 의해 감염된 단말에서 발생하는 악성 통신 데이터를 인식하여 원천 차단함으로써 공격 트래픽을 발생하지 않도록 하여 공격 대상 사이트(50)를 보호하며, 특정 사이트가 분산 서비스 공격으로 인해 접속이 불가능할 경우 우회 접속 경로를 제공함으로써 분산 서비스 공격과 관계없 는 정상 사용자는 우회 접속 경로로 접속하도록 하여 사용자의 편의성을 증대시킬 수 있다.
도 4는 본 발명의 제 2 실시 예에 따른 분산 서비스 거부 공격 생성 방지 장치의 구성도로서, PC(20), 셋탑박스(21), VoIP 전화기(22)와 연결된 단일의 인터넷 공유기(60) 내부에 공격 방지 모듈(100)이 내장된 분산 서비스 거부 공격 생성 방지 장치를 도시한 것이다.
상기 인터넷 공유기(60, NAT:Network Address Translation)는 하나의 공인IP를 받아서 여러 개의 사설IP를 이용하여 다수의 단말(20,21,22)이 인터넷 접속을 할 수 있도록 하는 장비이므로, 단순히 트래픽 제어기로서 단일기능을 하는 소형장비로도 구성 가능하다. 즉, 상기 분산 서비스 거부 공격 생성 방지 장치(100)는 소형 장비로 구성하여 상기 인터넷 공유기(60) 내부에 탑재하여 단말 후단에 적용하거나 또는 PC(20) 내부의 네트워크 카드(NIC: Network Interface Card)에 내장 구성하거나 셋톱박스(21)의 장비에 내장할 수 있다. 또한, 상기 분산 서비스 거부 공격 생성 방지 장치를 소프트웨어 형태로 구성하여 사용자 PC, 셋톱박스, VoIP 전화기 등에 내장할 수도 있다.
더불어, 상기 분산 서비스 거부 공격 생성 방지 장치(100)는 사용자 단말(20,21,22)과의 인터페이스를 위해 상기 사용자 단말에 드라이버를 설치하여 장비 제어 및 백신 사이트 안내 등의 내용을 상기 사용자 단말로 전달할 수 있다.
이처럼, 상기 분산 서비스 거부 공격 생성 방지 장치는 공격 방지 장비를 IPTV나 디지털 CATV의 셋톱박스 등에 탑재 가능하도록 하여 상기 셋톱박스의 감염을 방지하도록 하여 상기 셋톱박스 및 네트워크 자원의 부당 이용을 막고 해당 서비스 제공의 안정성을 증대시킨다.
도 5는 본 발명의 제 3 실시 예에 따른 분산 서비스 거부 공격 생성 방지 장치의 구성도로서, 상기 분산 서비스 거부 공격 생성 방지 장치는 공격 방지 모듈을 내장한 복수의 공격 방지 장비(100), 상기 공격 방지 장비(100)의 데이터를 수집하고 관리하는 관제센터 서버(200)를 포함한다.
상기 공격 방지 장비(100)는 자신과 연결된 PC, 셋톱박스, VoIP 전화기의 통신 데이터를 감시하여, 악성 데이터라고 판단될 경우 접속 차단 또는 사용자에게 경고를 하거나 정상적인 사용자에게 우회경로를 제공한다. 또한, 상기 공격 방지 장비(100)는 공유기에 포함하여 구성되거나 또는 네트워크 설정 기능이 포함된 임의의 장비나 단말에 적용할 수 있다.
상기 관제센터 서버(200)는 복수의 공격 방지 장비(100)와 통신 가능하며, 상기 공격 방지 장비(100)는 자신이 감시하는 통신 데이터를 주기적 또는 비주기적으로 상기 관제센터 서버(200)로 전송한다. 상기 관제센터 서버(200)는 복수의 공격 방지 장비(100)로부터 상기 통신 데이터를 수집하여 정상 통신 트래픽의 기준을 설정하고, 기준이 변경되었을 경우 변경된 기준을 상기 공격 방지 장비(100)들로 전송한다.
상기 관제센터 서버(200)는 상기 공격 방지 장비(100)들의 고유 정보를 저장 하고 있으며, 각각의 공격 방지 장비(100)들이 외부 장치와 연결되었을 경우 그에 관한 정보도 저장한다.
상기 관제센터 서버(200)는 특정 사이트(50)에 분산 서비스 공격이 발생할 경우 그 정보를 입수하여 해당 사이트(50)로 우회접속이 가능한 IP를 상기 공격 방지 장비(100)로 전송함으로써 상기 공격 방지 장비(100)와 연결된 정상적인 단말이 해당 사이트(50)가 분산 서비스 공격을 당하고 있는 경우에도 접속 가능하도록 해당 사이트(50)의 우회 접속 경로 정보를 제공한다.
이와 같이 상기 분산 서비스 거부 공격 생성 방지 장치를 구성함으로써 공격 방지 장비가 관리하는 단말에서 공격 발생시 상기 장비를 제어하는 관제센터 서버 및 사용자에게 경보를 발생하거나 공격 대상 IP를 차단하도록 하여 상기 관제센터 서버 및 사용자가 해당 공격에 신속히 대응 가능하여 피해 확산을 초기에 방지할 수 있다.
또한, 상기 공격 방지 장비(100)는 장비 상황을 별도의 지정된 통신 포트를 이용하여 주기적으로 상기 관제센터 서버(200)로 업데이트하여 상기 관제센터 서버(200)가 자신이 관리하는 복수의 공격 방지 장비(100)의 전체 상황을 모니터링할 수 있도록 한다. 즉, TCP등 통신 프로토콜을 이용한 클라이언트 서버 간 통신의 형태를 통해 해당 장비의 현재 상황을 주기적으로 상기 관제센터 서버(200)로 업데이트 하거나 또는 감염 단말의 발생, 장비결함, 전원부족 등의 이상 상황 발생시 상기 지정된 통신 포트를 통해 신속히 해당 상황을 전송함으로써 상기 관제센터 서버(200)에서 이상상황을 감지하여 조치를 취하게 할 수 있다.
더불어, 상기 공격 방지 장비(100)가 가정용 네트워크의 가장 앞 단에 설치되는 경우, 상기 관제센터 서버(200)가 해당 장비의 고유 시리얼넘버를 통해 DDNS 형태로 관리하도록 하여 주기적인 폴링(Polling)을 통해 능동적인 장비 관리가 가능하며, 이를 통해서 자산(장비)의 이동에 대해서 능동적으로 추적할 수 있는 장점이 있다. 반대로, 상기 공격 방지 장비(100)가 가정용 네트워크의 공유기 안쪽에서 동작하는 경우에는 상기 공격 방지 장비(100)가 관제센터 서버(200)에 접속하는 순간 해당 장비의 공인IP를 파악하여 추적 관리가 가능하도록 구성할 수도 있다.
도 6은 본 발명의 제 3 실시 예에 따른 공격 방지 장비의 구성도로서, 상기 장비(100)가 관리하는 단말(20) 및 상기 장비(100)의 통신 데이터를 관리하는 관제센터 서버(200)와 통신 가능한 통신부(110), 상기 단말(20)의 통신 데이터를 감시하는 감시부(115), 상기 감시부(115)의 통신 데이터 중 악성 데이터를 분류하는 판단부(120), 상기 판단부(120)가 악성 데이터로 판단할 경우 해당 단말(20)로 사용자 공지 또는 백신 사이트로의 접속 경로를 제공하는 인터페이스 제공부(130), 정상적인 단말이 현재 공격 대상 서버인 접속 요청시 우회 접속 경로를 제공하는 우회경로 제공부(135), 상기 판단부(120)가 악성 데이터로 판단할 경우 해당 단말의 접속을 차단하거나 경고 메시지를 회신하는 경고부(140), 상기 단말의 고유 정보 를 관리하는 단말 정보부(145), 외부장치 또는 외부시스템(300)과 연결 가능한 외부장치 연결부(155), 감시하는 통신데이터를 상기 관제센터 서버(200)로 전송하는 통신데이터 제공부(160), 장비 고유 정보를 관리하는 DDNS정보부(165), 장비의 이 상상황을 별도의 통신 포트를 통해 상기 관제센터 서버(200)로 전송하는 트랩부(170), 각 부를 제어하는 제어부(150)를 포함한다.
상기 판단부(120)는 상기 단말(20)의 통신 데이터를 상기 감시부(115)로부터 전송받아 해당 데이터를 기 설정된 기준에 따라 악성 데이터인지 판단하며, 상기 악성 데이터를 공격의 방식에 따라 분류하고, 또한 프로토콜 레이어 분류 기준에 따라 세부적으로 분류하여 적절한 제어를 가능하게 한다. 일반적으로, 분산 서비스 거부 공격의 방식은 SYN, ACK&RST등에 의한 서버자원 고갈형 공격, ICMP, UDP 등 회선대역폭 고갈형 공격, Non IP flooding, Fragment등 네트워크 장비의 자원 고갈형 공격으로 분류되며, 상기 악성 데이터를 이와 같은 기준으로 분류한 후 어떤 형태의 분산 서비스 거부 공격 방식인지 알아내어 제어할 수 있다.
예를 들어 더욱 자세히 설명하자면, 웹서핑과 같이 단말에서 소량의 데이터를 송신하고 대량의 데이터를 수신하는 경우, 초당 소량의 접속을 위한 SYN만을 웹서비스 포트인 TCP 80포트로 발생시키며, 단말에서 송신되는 ACK&RST도 소량이다. 이때, 상기 통신 데이터의 공격성의 여부를 알기 위해 지정된 양 이상의 SYN이 하나의 대상IP로 80 포트를 이용하여 송신되는 경우 또는 일정시간 이상 지속하는 경우 공격으로 판단한다. 아울러, 필요시에는 공격 방지 장비에 연결된 단말의 수량에 따라 SYN 허용량을 조정함으로써 상기 공격 방지 장비에 연결되어 사용되는 단말의 수량을 제어할 수 있으며 또는 총 사용량을 제어할 수도 있다. 또는, 게임과 같이 대화형 통신 데이터의 경우 한번 연결이 되면 SYN보다는 ACK에 대한 송수신이 발생하므로, SYN이 특정 IP에 대해서 지정된 수량 이상으로 발생하면 해당 공격대 상 IP로 발생하는 트래픽을 차단한다. 혹은 포트와 상관없이 SYN으로 스캔을 계속하는 경우도 있으므로 상기 웹서핑의 예에서 언급한 기준을 그대로 적용 가능하다.
또 다른 분산 서비스 거부 공격의 분류 방식으로 스트리밍과 같은 UDP는 단말에서 수신을 위주로 하게 되므로 송신하는 UDP의 크기로서 제어 가능하며, VoIP 단말의 경우 송신 패킷 사이즈가 일정 크기 이상 되지 않으므로 사이즈로 제어하고, IPTV 또는 셋톱박스도 수신위주이므로 송신량 및 송신 패킷사이즈가 일정량 이상이면 제어하여 차단한다. 메신저 프로그램 등은 초당 송수신 패킷의 양이 소량이므로 일정량 이상의 제어에 포함된다. 이 외에도 ICMP는 일반적으로 32 바이트(Byte)정도의 데이터를 송수신하여 상대 IP의 생존 여부를 판단하지만 ICMP형 공격은 65535 바이트까지 데이터를 보내서 트래픽 자원을 고갈시키므로, 지정 사이즈 이상의 ICMP패킷에 대해 폐기 또는 ICMP패킷이 일정량 이상 발생하면 별도로 경보 패킷을 ICMP응답으로 해당 단말에 회신하는 것으로 제어 가능하다.
이와 같이 상기 판단부(120)는 일반적인 프로토콜 레이어의 분류 기준에 따라 해당 통신 데이터가 TCP인지 UDP인지 구분하고, 상기 통신 데이터의 패킷량, 사이즈, 종류등을 구분하며, 각 프레임의 수량등을 파악하고, 기 설정된 기준에 따라 해당 데이터의 분산 서비스 공격 여부를 인식 및 차단 가능하여 다양한 종류의 공격에 대해 대응할 수 있다.
상기 인터페이스 제공부(130)는 공격으로 판단된 형태의 통신 데이터에 대해서 공격이 발생하고 있다는 경보를 보여주는 웹페이지를 단말 웹브라우저의 화면에 주기적으로 전송하거나 사용자에게 공격사실을 인지시키며 백신사이트에 대해 공지 한다.
상기 경고부(140)는 감염 단말에 경고 메시지를 전송하며, 사용자의 대응이 없거나 자리를 비운 사이에 공격이 발생하는 경우에 대비해 다른 IP로의 트래픽이 없으면 경보 없이 자동으로 공격대상IP에 대해 차단한다.
상기 우회경로 제공부(135)는 관제센터 서버(200)로부터 공격 대상으로 인지된 사이트로 정상 단말(서비스 거부 공격 바이러스에 감염되지 않은 단말)이 접속을 요청할 경우, 상기 관제센터 서버(200)로부터 업데이트된 DNS 리스트를 전송받아 이를 우회 접속 경로로 상기 정상 단말(20)에 제공한다. 따라서, 상기 DNS 리스트는 ISP에서 제공하는 일반적인 DNS 서버보다 우선순위가 높게 된다. 즉, 상기 정상 단말(20)이 URL에 대해 DNS질의를 요청할 경우 상기 우회경로 제공부(135)는 자체 IP 및 포트번호를 회신하며 상기 DNS리스트에서 상기 URL의 우회 IP로 포트 포워딩하여 접속한다. 이때, 상기 정상 단말(20)이 접속을 시도하는 우회 IP는 상기 공격 대상 사이트를 운영하는 회사에서 제공하는 또 다른 접속 경로이거나, 또는 상기 외부장치 연결부(155)와 연결된 별도의 방어 시스템(300)의 IP일 수 있다. 즉, 상기 방어 시스템(300)이 상기 단말(20)과 상기 공격 대상 사이트의 통신을 중계하여 적절한 방어 조치를 취하게 구성할 수 있다.
이때, 일반 DNS 질의를 통해서 알 수 있는 IP(일반적인 DNS서버에 의해 전달된 IP)는 감염 단말에 의해서 공격을 받고 있는 상황이므로 접속 장애가 발생 중이나, 정상 사용자는 우회 IP를 이용하므로 아무런 문제없이 별도의 루트를 이용해서 안정적인 접속을 수행할 수 있다.
이와 같이 상기 우회경로 제공부(135)는 특정 사이트가 분산 서비스 공격으로 인해 접속이 불가능할 경우 우회 접속 경로를 제공함으로써 분산 서비스 공격과 관계없는 정상 사용자는 우회 접속 경로로 접속하도록 하여 사용자의 편의성을 증대시킨다.
상기 통신데이터 제공부(160)는 감시하는 통신데이터를 상기 관제센터 서버(200)로 전송하여 상기 관제센터 서버(200)가 전송된 통신데이터를 이용하여 악성 데이터 판단 기준을 설정할 수 있게 한다.
상기 DDNS정보부(165)는 DDNS(Dynamic Domain Name System) 클라이언트 기능을 탑재하여 해당 장비에 대한 IP의 변경에 대한 추적 또는 이동 여부를 판단하게 하여 네트워크 자원에 대한 변경 여부에 대해 확인을 가능하게 한다. 예를 들어 설명하면, 관제센터 서버(200)에 DDNS서버를 구성하고, 공격 방지 장비의 고유 시리얼 번호를 앞자리로 설정한 도메인 (예: 1234a9ef.ddosprotection.net)을 관리하도록 하여 장비(100)가 네트워크에 연결되는 즉시 해당 장비(100)의 사용 여부를 확인할 수 있도록 구성한다. 상기 DDNS서버는 해당 장비(100)에 할당된 주소가 등록되므로 공격시 차단 및 감염의 치료를 위한 근거자료로 활용 가능하며, 아울러 상기 DDNS서버의 방어를 위해 TCP기반의 DDNS업데이트 시스템으로 서버를 구성할 수도 있다.
상기 트랩부(170)는 TCP등의 통신 프로토콜을 이용하고 별도의 지정된 통신 포트를 이용한 클라이언트 서버 간의 통신으로 공격 방지 장비의 현재 상황에 대해 주기적으로 관제센터 서버(200)에 업데이트 한다. 또는 감염 단말 발생, 장비결함, 전원부족 등의 이상 상황 발생시 상기 지정된 통신 포트를 통해 신속히 해당 상황을 전송함으로써 상기 관제센터 서버(200)에서 이상상황을 감지하여 조치를 취할 수 있게 하도록 한다.
도 7은 본 발명의 제 3 실시 예에 따른 공격 방지 장비의 판단부(120)의 구성도로서, 악성 데이터 여부를 판단하는 기준을 설정하는 판단기준 설정부(121), 프로토콜 레이어(Protocol Layer) 분류 기준 중 레이어 2 수준에서 악성 데이터 여부를 상기 판단기준 설정부의 기준에 따라 판단하는 L2판단부(123), 레이어 3 수준에서 악성 데이터 여부를 상기 판단기준 설정부의 기준에 따라 판단하는 L3판단부(124), 레이어 4 수준에서 악성 데이터 여부를 상기 판단기준 설정부의 기준에 따라 판단하는 L4판단부(125) 및 상기 각 부를 제어하는 판단제어부(122)를 포함한다.
상기 판단기준 설정부(121)는 감시부(115)에서 감시하는 단말의 통신 데이터가 악성 데이터인지를 판단하는 판단 기준을 설정한다. 상기 판단 기준은 일반적인 OSI 프로토콜 레이어 분류 기준으로 통신 데이터를 분류하고, 상기 통신 데이터를 상기 프로토콜 레이어 수준에서 정상적인 데이터인지 분산 서비스 공격에 해당하는 데이터인지를 판단하는 기준이다. 이때, 관제센터 서버는 자신이 관리하는 복수의 공격 방지 장비에서 수집한 통신 데이터를 이용하여 생성한 판단 기준을 각각의 공격 방지 장비로 전송하고, 상기 공격 방지 장비가 상기 관제센터 서버에서 전송받은 판단 기준을 상기 판단기준 설정부(121)에서 이용하도록 구성할 수 있다.
프로토콜 2계층 수준에서는 통신 데이터를 프레임 단위로 분류하므로 상기 L2판단부(123)는 프레임의 수량등을 감시하여 일정량 이상이면 악성 데이터로 판단한다.
프로토콜 3계층 수준에서는 통신 데이터를 패킷 단위로 분류하므로 상기 L3판단부(124)는 해당 패킷의 종류에 따라 패킷의 양이 일정량 이상이거나 또는 패킷의 사이즈가 일정 크기 이상이면 악성 데이터로 판단한다.
프로토콜 4계층 수준에서는 통신 데이터를 메시지 단위로 분류하므로 상기 L4판단부(125)는 해당 통신 데이터가 TCP인지 또는 UDP인지 등을 판단하고 그 통신량 또는 통신 시간이 일정 수준 이상이면 악성 데이터로 판단한다.
상기 판단제어부(122)는 상기 L2판단부(123), L3판단부(124), L4판단부(125)에서 판단한 결과를 종합하여 해당 데이터가 최종적으로 악성 데이터인지 판단하며, 악성 데이터일 경우 후속 동작을 담당하는 각 부가 동작하도록 제어한다. 즉, 악성 데이터의 종류에 따라 인터페이스 제공부(130)에서 경보 및 백신사이트 공지를 하도록 제어하거나 경고부(140)에서 경고메시지 또는 접속 차단을 수행하도록 제어하거나 또는 현재 공격받고 있는 사이트의 IP에 정상 단말이 접속을 요청한 경우 우회경로 제공부(135)가 우회 접속 경로를 제공하도록 제어한다.
이처럼, 상기 판단제어부(122)는 분산 서비스 공격을 유형별로 인식하여 차단 및 제어함으로써 다양한 종류의 공격에 대해 대응 가능하도록 하여 보안성을 확장시킬 수 있다.
또한, 본 실시 예에서는 프로토콜 2계층 내지 4계층의 구분에 따른 악성 데 이터의 분류 기준을 설명하였으나, 일반적으로 프로토콜 레이어는 7계층로 분류되므로 7계층까지 확장하여 적용할 수 있는 것은 자명하다.
도 8은 본 발명의 제 3 실시 예에 따른 관제센터 서버의 구성도로서, 상기 관제센터 서버(200)와 연결된 공격 방지 장비(100)와 통신 가능한 장비통신부(220), 상기 공격 방지 장비(100)의 고유정보를 저장하는 장비정보부(210), 상기 공격 방지 장비(100)와 연결된 외부 장치 또는 외부 시스템의 연결 정보를 저장하는 외부장치연결 정보부(230), 상기 공격 방지 장비(100)와 연결된 단말로 특정 사이트의 우회 접속 경로를 제공하는 우회경로 정보부(250), 상기 공격 방지 장비(100)에서 주기적으로 전송되는 통신 데이터를 수집하는 통계수집부(260), 상기 통계수집부(260)에서 수집한 통신 데이터를 이용하여 악성 데이터의 판단 기준을 설정하는 기준설정부(270), 별도의 통신 포트를 이용하여 상기 공격 방지 장비(100)로부터 해당 장비의 현재 상황 또는 이상 상황을 전송받는 트랩정보부(280), DDNS 서버 기능을 담당하는 DDNS서버부(290), 상기 각 부를 제어하는 제어부(240)를 포함한다.
상기 외부장치연결 정보부(230)는 공격 방지 장비(100)가 방어 시스템과 같은 외부 시스템과 연결되어 동작할 경우 상기 공격 방지 장비(100)와 연결된 외부 시스템의 정보를 저장한다.
상기 우회경로 정보부(250)는 단말로 제공하는 우회 접속 경로 정보를 상기 관제센터 서버(200)와 연결된 공격 방지 장비(100)로 제공한다. 상기 우회 접속 경 로 정보는 외부 시스템에 의해 외부 정보(80) 형태로 입력될 수 있다.
상기 통계수집부(260)는 사용자의 단말과 연결 설치된 복수의 공격 방지 장비(100)에서 일반적인 데이터 통계를 수집하여 주기적으로 관제센터 서버(200)로 전송하면 이를 수집한다.
상기 기준설정부(270)는 상기 공격 방지 장비(100)가 관제센터 서버(200)로 주기적으로 전송하는 통신 데이터 및 이상상황을 이용하여 정상 통신 트래픽을 예측하고 변경한 후 상기 공격 방지 장비(100)로 전송하여 상기 공격 방지 장비(100)가 분산 공격에 대해 능동적으로 대응할 수 있게 한다.
상기 트랩정보부(280)는 관제센터 서버(200)가 관리하는 공격 방지 장비(100)에서 감염 단말 발생등 이상 상황 발생시에 상기 공격 방지 장비(100)와 연결된 해당 단말의 IP에 대해서 알리게 하여 좀비 프로그램의 여부 및 좀비 관리 IP에 대해서 추적할 수 있으므로 단말의 감염에 대해서 능동적으로 대응 가능하다.
상기 DDNS서버부(290)는 DDNS 서버 기능을 이용하여 DDNS 클라이언트 기능을 탑재한 공격 방지 장비(100)와 연결되어, 해당 장비(100)에 대한 IP의 변경 및 이동 여부를 판단할 수 있으므로 네트워크 자원의 변경에 대해 확인 가능하다. 이때, 상기 DDNS서버부(290)에 해당 장비(100)에 할당된 주소가 등록되므로 공격시 차단 및 감염의 치료를 위한 근거자료로 활용 가능하다. 또한, 상기 DDNS서버의 방어를 위해 TCP기반의 DDNS업데이트 시스템으로 서버를 구성할 수도 있다.
이상에서는 본 발명에 따른 바람직한 실시예들에 대하여 도시하고 또한 설명 하였다. 그러나 본 발명은 상술한 실시예에 한정되지 아니하며, 특허 청구의 범위에서 첨부하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능할 것이다.
도 1은 분산 서비스 거부(DDOS) 공격의 예시도.
도 2는 분산 서비스 거부(DDOS) 공격의 일 예인 Syn Flooding의 예시도.
도 3은 본 발명의 제 1 실시 예에 따른 분산 서비스 거부 공격 생성 방지 장치의 구성도.
도 4는 본 발명의 제 2 실시 예에 따른 분산 서비스 거부 공격 생성 방지 장치의 구성도.
도 5는 본 발명의 제 3 실시 예에 따른 분산 서비스 거부 공격 생성 방지 장치의 구성도.
도 6은 본 발명의 제 3 실시 예에 따른 공격 방지 장비의 구성도.
도 7은 본 발명의 제 3 실시 예에 따른 공격 방지 장비의 판단부의 구성도.
도 8은 본 발명의 제 3 실시 예에 따른 관제센터 서버의 구성도.
***도면의 주요 부분에 대한 부호의 설명***
100: 공격 방지 장비 115: 감시부
120: 판단부 130: 인터페이스 제공부
135: 우회경로 제공부 200: 관제센터 서버
250: 우회경로 정보부 260: 통계 수집부

Claims (16)

  1. 인터넷으로 통신 가능한 단말과 연결되어 기 설정된 기준에 따라 상기 단말 통신 데이터의 분산 서비스 거부 공격 여부를 감시하며, 상기 단말이 분산 서비스 거부 공격의 대상인 사이트의 접속을 요청할 경우 해당 사이트로 정상적인 접속이 가능한 우회 접속 경로를 제공하는 공격 방지 장비; 및
    복수의 상기 공격 방지 장비를 관리하고, 특정 사이트에 분산 서비스 거부 공격의 발생시 해당 사이트의 정상적인 접속이 가능한 우회 접속 경로를 외부로부터 입수하여 상기 복수의 공격 방지 장비로 제공하는 관제센터 서버를 포함하되,
    상기 공격 방지 장비는 기 설정된 프로토콜 계층 분류에 따른 판단 기준에 의해 상기 통신 데이터의 분산 서비스 거부 공격 여부를 감시하고,
    상기 관제센터 서버는 상기 복수의 공격 방지 장비로부터 통신 데이터를 전송받아 이를 이용하여 상기 판단 기준을 생성하여 상기 공격 방지 장비로 업데이트 하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  2. 제 1항에 있어서, 상기 공격 방지 장비는
    내부에 DNS(Domain Name System) 리스트를 저장하여, 감염되지 않은 단말이 상기 공격 대상 사이트로 접속 요청시 자신의 IP 및 포트 번호(Port Number)를 대신 전달하고, 상기 DNS 리스트에서 상기 공격 대상 사이트에 해당하는 IP로 포트 포워딩을 통해 접속하는 것으로 상기 단말의 정상적인 우회 접속 경로를 제공하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  3. 삭제
  4. 제 1항에 있어서, 상기 프로토콜 계층 분류에 따른 판단 기준은
    OSI 프로토콜 분류 2계층에서 프레임의 수량이 기 설정된 양 이상이거나, 3계층에서 패킷의 종류에 따른 패킷량이 기 설정된 양 이상이거나 크기가 기 설정된 크기 이상이거나, 4계층에서 통신데이터의 통신량이 기 설정된 양 이상이거나 또는 통신 시간이 기 설정된 시간 이상인 경우들 중 적어도 하나 이상일 때 분산 서비스 거부 공격으로 판단하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  5. 제 1항에 있어서, 상기 공격 방지 장비는
    상기 통신 데이터가 분산 서비스 거부 공격이라고 판단될 경우, 해당 단말로 공격 발생 경보 또는 백신 사이트에 대한 공지를 전송하는 인터페이스를 제공하는 것을 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  6. 제 1항에 있어서, 상기 공격 방지 장비는
    상기 통신 데이터가 분산 서비스 거부 공격이라고 판단될 경우, 해당 단말로 경고 메시지 또는 해당 단말의 접속을 차단하는 것을 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  7. 제 1항에 있어서, 상기 공격 방지 장비는
    외부 시스템과 통신 가능한 연결부를 제공하여 상기 통신 데이터가 분산 서비스 거부 공격이라고 판단될 경우, 해당 단말의 접속을 상기 연결부와 통신하는 외부 방어 시스템으로 통신하게 하는 것을 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  8. 제 1항에 있어서,
    상기 공격 방지 장비는 DDNS(Dynamic Domain Name System) 클라이언트 기능을 탑재하고,
    상기 관제센터 서버는 DDNS 서버 기능을 수행하여, 상기 공격 방지 장비의 고유 일련 번호(Serial Number)를 해당 장비의 도메인으로 관리하는 것을 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  9. 제 1항에 있어서,
    상기 공격 방지 장비는 감염 단말의 발생 또는 장비 결함과 같은 이상 상황 발생시 별도의 지정된 통신 포트(Port)를 이용하여 상기 관제센터 서버로 해당 상황을 전송하는 것을 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  10. 인터넷으로 통신 가능한 단말 또는 접속단의 내외부에 설치되는 분산 서비스 거부 공격 생성 방지 장치에 있어서,
    통신 내용을 기 설정된 판단 기준에 따라 분석하여 상기 단말 통신 데이터의 분산 서비스 거부 공격 여부를 감시하는 감시판단부;
    외부 서버로부터 분산 서비스 거부 공격 대상 사이트의 우회 접속 경로를 제공받아 외부 DNS 서버의 접속 경로보다 우선 순위를 높이는 우회 접속 경로 제공부; 및
    상기 단말의 통신 데이터를 외부 서버로 주기적으로 전송하고, 상기 외부 서버로부터 판단 기준을 전송받아 상기 감시 판단부의 판단 기준을 갱신하는 판단 기 준 갱신부를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  11. 제 10항에 있어서,
    내부에 DNS(Domain Name System) 리스트를 저장하여, 감염되지 않은 단말이 상기 공격 대상 사이트로 접속 요청시 자신의 IP 및 포트 번호(Port Number)를 대신 전달하고, 상기 DNS 리스트에서 상기 공격 대상 사이트에 해당하는 IP로 포트 포워딩을 통해 접속하는 것으로 상기 단말의 정상적인 우회 접속 경로를 제공하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  12. 제 10항에 있어서,
    기 설정된 프로토콜 계층 분류에 따른 판단 기준에 의해 상기 통신 데이터의 분산 서비스 거부 공격 여부를 감시하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  13. 제 12항에 있어서, 상기 프로토콜 계층 분류에 따른 판단 기준은
    OSI 프로토콜 분류 2계층에서 프레임의 수량이 기 설정된 양 이상이거나, 3계층에서 패킷의 종류에 따른 패킷량이 기 설정된 양 이상이거나 크기가 기 설정된 크기 이상이거나, 4계층에서 통신데이터의 통신량이 기 설정된 양 이상이거나 또는 통신 시간이 기 설정된 시간 이상인 경우들 중 적어도 하나 이상일 때 분산 서비스 거부 공격으로 판단하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  14. 제 10항에 있어서,
    상기 통신 데이터가 분산 서비스 거부 공격이라고 판단될 경우, 해당 단말로 공격 발생 경보 또는 백신 사이트에 대한 공지를 전송하는 인터페이스를 제공하는 것을 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  15. 제 10항에 있어서,
    상기 통신 데이터가 분산 서비스 거부 공격이라고 판단될 경우, 해당 단말로 경고 메시지 또는 해당 단말의 접속을 차단하는 것을 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
  16. 제 10항에 있어서,
    외부 시스템과 통신 가능한 연결부를 제공하여 상기 통신 데이터가 분산 서 비스 거부 공격이라고 판단될 경우, 해당 단말의 접속을 상기 연결부와 통신하는 외부 방어 시스템으로 통신하게 하는 것을 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 생성 방지 장치.
KR1020090130867A 2009-12-24 2009-12-24 분산 서비스 거부 공격 생성 방지 장치 KR101069341B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090130867A KR101069341B1 (ko) 2009-12-24 2009-12-24 분산 서비스 거부 공격 생성 방지 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090130867A KR101069341B1 (ko) 2009-12-24 2009-12-24 분산 서비스 거부 공격 생성 방지 장치

Publications (2)

Publication Number Publication Date
KR20110074028A KR20110074028A (ko) 2011-06-30
KR101069341B1 true KR101069341B1 (ko) 2011-10-10

Family

ID=44404458

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090130867A KR101069341B1 (ko) 2009-12-24 2009-12-24 분산 서비스 거부 공격 생성 방지 장치

Country Status (1)

Country Link
KR (1) KR101069341B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140021772A (ko) * 2012-08-10 2014-02-20 주식회사 아이디어웨어 이벤트에 대응하는 애플리케이션 패킷 패턴 검출장치 및 방법과 기록매체
KR20140021773A (ko) * 2012-08-10 2014-02-20 주식회사 아이디어웨어 패킷 차단에 대응하는 애플리케이션 패킷 패턴 검출장치 및 방법과 기록매체
KR102088299B1 (ko) 2016-11-10 2020-04-23 한국전자통신연구원 분산 반사 서비스 거부 공격 탐지 장치 및 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060185014A1 (en) 2005-02-15 2006-08-17 Oliver Spatscheck Systems, methods, and devices for defending a network
KR100663546B1 (ko) * 2005-07-08 2007-01-02 주식회사 케이티 악성 봇 대응 방법 및 그 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060185014A1 (en) 2005-02-15 2006-08-17 Oliver Spatscheck Systems, methods, and devices for defending a network
KR100663546B1 (ko) * 2005-07-08 2007-01-02 주식회사 케이티 악성 봇 대응 방법 및 그 시스템

Also Published As

Publication number Publication date
KR20110074028A (ko) 2011-06-30

Similar Documents

Publication Publication Date Title
US10097578B2 (en) Anti-cyber hacking defense system
US7870611B2 (en) System method and apparatus for service attack detection on a network
US11729209B2 (en) Distributed denial-of-service attack mitigation with reduced latency
TWI294726B (ko)
JP5826920B2 (ja) 遮断サーバを用いたスプーフィング攻撃に対する防御方法
CN106713216B (zh) 流量的处理方法、装置及系统
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US8347383B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
RU2480937C2 (ru) Система и способ уменьшения ложных срабатываний при определении сетевой атаки
US20090013404A1 (en) Distributed defence against DDoS attacks
US8918838B1 (en) Anti-cyber hacking defense system
KR20060116741A (ko) 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과장치
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
KR101553264B1 (ko) 네트워크 침입방지 시스템 및 방법
US8726384B2 (en) Apparatus, and system for determining and cautioning users of internet connected clients of potentially malicious software and method for operating such
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
US20040250158A1 (en) System and method for protecting an IP transmission network against the denial of service attacks
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
KR101209214B1 (ko) 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법
KR101069341B1 (ko) 분산 서비스 거부 공격 생성 방지 장치
US20070140121A1 (en) Method of preventing denial of service attacks in a network
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee