KR101095447B1 - 분산 서비스 거부 공격 차단 장치 및 방법 - Google Patents

분산 서비스 거부 공격 차단 장치 및 방법 Download PDF

Info

Publication number
KR101095447B1
KR101095447B1 KR1020110062126A KR20110062126A KR101095447B1 KR 101095447 B1 KR101095447 B1 KR 101095447B1 KR 1020110062126 A KR1020110062126 A KR 1020110062126A KR 20110062126 A KR20110062126 A KR 20110062126A KR 101095447 B1 KR101095447 B1 KR 101095447B1
Authority
KR
South Korea
Prior art keywords
information
client terminal
distributed denial
web server
packet
Prior art date
Application number
KR1020110062126A
Other languages
English (en)
Inventor
박찬희
김우겸
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020110062126A priority Critical patent/KR101095447B1/ko
Application granted granted Critical
Publication of KR101095447B1 publication Critical patent/KR101095447B1/ko
Priority to US14/122,364 priority patent/US20140373138A1/en
Priority to PCT/KR2012/005043 priority patent/WO2013002538A2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

본 발명은 분산 서비스 거부 공격을 차단함에 있어서, 통신망을 통해 다수의 클라이언트 단말기로부터 특정 웹서버로의 접속 요청이 수신되는 경우, 해당 클라이언트 단말기에 대한 인증을 위해 웹서버로 바로 접속할 수 있는 실제 URI 정보를 제공하는 대신에 리다이렉트 URI 정보를 제공하여 다시 접속하도록 한 후, 리다이렉트 URI 정보에 포함된 새로운 URI 주소로 정확히 웹서버 접속요청이 재차 수신되는지 여부를 검사하여 공격자로 판단된 클라이언트 단말기로부터의 트래픽을 차단시킴으로써 불특정 다수의 클라이언트 단말기로부터 분산 서비스 거부 공격을 효과적으로 차단시킬 수 있도록 한다. 또한, 본 발명에서는 리다이렉트 URI 정보를 이용한 인증에서 인증에 성공한 클라이언트 단말기에 대해서는 해당 클라이언트 단말기의 IP를 접속을 허용시키는 목록인 화이트 리스트로 관리함으로써 공격자의 수가 상대적으로 많아 블랙리스트 관리가 어려운 분산 서비스 거부 공격에 대해서 보다 효과적으로 대처할 수 있도록 한다.

Description

분산 서비스 거부 공격 차단 장치 및 방법{APPARATUS AND METHOD FOR PREVENTING DISTRIBUTED DENIAL OF SERVICE ATTACK}
본 발명은 분산 서비스 거부(Distributed Denial of Service : DDoS) 공격을 차단시키는 방법에 관한 것으로, 리다이렉트(redirect) URI 정보를 이용하여 불특정 다수의 클라이언트 단말기(client terminal)로부터의 분산 서비스 거부 공격을 효과적으로 차단시킬 수 있도록 하는 분산 서비스 거부 공격 차단 장치 및 방법에 관한 것이다.
통상적으로 분산 서비스 거부 공격은 불특정 다수의 공격자가 시스템의 정상적인 서비스를 방해할 목적으로 대량의 데이터를 특정 서버로 보내 대상 네트워크(network)나 시스템의 성능을 급격히 저하시켜 해당 시스템에서 제공하는 서비스를 사용하지 못하게 하는 공격을 의미한다.
이러한 분산 서비스 거부 공격은 크게 네트워크 레벨(network level) 공격과 응용 레벨(application level) 공격으로 분류될 수 있으며, 네트워크 레벨 공격은 티씨피 플러딩(TCP flooding), 유디피 플러딩(UDP flooding) 및 아이씨엠피 플러딩(ICMP flooding)과 같은 네트워크 레벨 또는 계층의 공격을 나타내고, 응용레벨 공격은 HTTP flooding, SIP flooding 및 DNS flooding과 같은 응용 계층의 공격을 나타낸다.
한편, 위와 같은 분산 서비스 거부 공격에 대응하기 위한 종래 방법들은 대부분 특정 웹서버로 요청되는 트래픽 양을 측정하고, 측정된 트래픽 양이 기 설정된 임계치(threshold)를 초과하면 일정 시간동안 패킷을 차단하는 방식의 임계치 검사 방법이 사용되고 있다.
그러나, 위와 같은 트래픽의 임계치 초과 여부를 검사하여 분산 서비스 거부 공격을 판단하는 종래 방법에서는 공격자의 IP 수가 많은 실제 공격 발생 시, 공격 IP를 구분할 수 있는 임계치를 특정할 수 없어 분산 서비스 거부 공격을 효과적으로 탐지하고 차단하는데 문제점이 있었다.
또한, 이러한 종래 임계치 기반 분산 서비스 거부 공격 차단 방법의 문제점을 보완하기 위해 정상 사용자와 공격자를 구분하여 공격자가 발생시키는 트래픽을 차단하는 방법이 제안되고 있으나, 불특정 다수를 대상으로 하는 서비스에 영향을 주지 않고 정상 사용자를 구분하는 방법은 몇몇 프로토콜(protocol)을 제외하고는 구현이 어려운 상태이다.
따라서, 본 발명은 통신망을 통해 다수의 클라이언트 단말기로부터 특정 웹서버로의 접속 요청이 수신되는 경우, 해당 클라이언트 단말기에 대해 인증을 위해 웹서버로 접속할 수 있는 리다이렉트 URI 정보를 제공하여 다시 접속하도록 한 후, 리다이렉트 URI 정보에 포함된 새로운 URI 주소로 정확히 웹서버 접속요청이 재차 수신되는지 여부를 검사하여 공격자로 판단된 클라이언트 단말기로부터의 트래픽을 차단시킴으로써 분산 서비스 거부 공격을 효과적으로 차단시킬 수 있도록 하는 분산 서비스 거부 공격 차단 장치 및 방법을 제공하고자 한다.
상술한 본 발명은 분산 서비스 거부 공격 차단장치로서, 클라이언트 단말기로부터 웹서버 접속을 요청하는 패킷을 수신하는 통신부와, 상기 수신된 패킷을 분석하여 패킷의 IP 정보 또는 HTTP 프로토콜 정보 중적어도 하나를 포함하는 패킷 정보를 추출하는 패킷 처리부와, 상기 패킷 처리부로부터 추출된 패킷 정보를 이용하여 상기 클라이언트 단말기의 IP 정보를 확인하고, 인증을 위한 리다이렉트(redirect) URI 정보를 상기 클라이언트 단말기로 제공한 후, 상기 리다이렉트 URI 정보에 포함된 새로운 URI 주소로 재차 접속 요청을 수행하는 상기 클라이언트 단말기를 정상적인 사용자의 클라이언트 단말기로 인증하고 상기 웹서버 접속을 허용하는 제어부를 포함한다.
또한, 상기 제어부는, 상기 웹서버의 URI 주소에 쿠키 정보를 포함하여 상기 리다이렉트 URI 정보를 생성하는 것을 특징으로 한다.
또한, 상기 제어부는, 상기 쿠키 정보를 상기 패킷의 출발지 IP 정보를 이용해서 생성시키는 것을 특징으로 한다.
또한, 상기 제어부는, 상기 리다이렉트 URI 정보를 HTTP 302 리다이렉트 응답을 이용해서 상기 클라이언트 단말기로 전송하는 것을 특징으로 한다.
또한, 상기 제어부는, 상기 리다이렉트 URI 정보를 스크립트(script)로 작성하여 HTTP 200 OK 응답을 이용해서 상기 클라이언트 단말기로 전송하는 것을 특징으로 한다.
또한, 상기 스크립트(script)는, 자바 스크립트(java script) 또는 VB스크립트인 것을 특징으로 한다.
또한, 상기 제어부는, 상기 리다이렉트 URI 정보를 HTTP 200 OK 응답을 이용해서 상기 클라이언트 단말기로 전송하되, 상기 리다이렉트 URI 정보와 연결되는 링크(link)가 포함된 html 페이지 형태로 전송하는 것을 특징으로 한다.
또한, 상기 제어부는, 상기 인증에 성공한 정상 사용자의 클라이언트 단말기들에 대한 IP 정보를 화이트 리스트로 등록하여 관리하는 것을 특징으로 한다.
또한, 상기 제어부는, 상기 클라이언트 단말기로부터의 상기 웹서버 접속 요청 시, 상기 클라이언트 단말기의 IP 정보가 상기 화이트 리스트에 등록되어 있는지 여부를 검사하고, 상기 클라이언트 단말기의 IP 정보가 상기 화이트 리스트에 등록되어 있는 경우, 상기 클라이언트 단말기에 대해서는 상기 리다이렉트 URI 정보를 이용한 인증절차 없이 상기 웹서버 접속을 허용하는 것을 특징으로 한다.
또한, 상기 제어부는, 상기 화이트 리스트에 등록된 접속 허용된 IP 정보의 클라이언트 단말기 각각에 대해, 일정 기간이 경과하거나 또는 접속 요청 횟수가 기 설정된 횟수를 초과하는 경우, 주기적으로 다시 인증을 수행하여 상기 화이트 리스트상 접속 허용된 IP 정보를 갱신시키는 것을 특징으로 한다.
또한, 상기 패킷 처리부는, 상기 패킷을 수신하는 패킷 수신부와, 상기 패킷을 분석하여 상기 패킷의 IP 정보, 프로토콜 정보 또는 HTTP 정보를 확인하는 패킷 분석부와, 상기 리다이렉트 URI 정보를 상기 클라이언트 단말기로 전송하는 패킷 전송부를 포함하는 것을 특징으로 한다.
또한, 상기 제어부는, 상기 클라이언트 단말기로부터의 상기 웹서버 접속 요청이 NON-TCP 프로토콜을 이용하여 수신되는 경우, 상기 클라이언트 단말기의 IP 정보가 상기 화이트 리스트에 존재하는지를 검사하여 상기 IP 정보가 상기 화이트 리스트에 존재하지 않는 경우 상기 웹서버 접속 요청을 차단시키는 것을 특징으로 한다.
또한, 상기 NON-TCP 프로토콜은, TCP 프로토콜을 제외한 모든 전송 계층 프로토콜인 것을 특징으로 한다.
또한, 상기 NON-TCP 프로토콜은, UDP 또는 ICMP 프로토콜인 것을 특징으로 한다.
또한, 본 발명은 분산 서비스 거부 공격 차단 방법으로서, 클라이언트 단말기로부터 웹서버 접속을 요청하는 패킷을 수신하는 단계와, 상기 수신된 패킷으로부터 상기 클라이언트 단말기의 IP 정보를 확인하고, 상기 클라이언트 단말기로 상기 웹서버로의 접속을 위한 리다이렉트 URI 정보를 전송하는 단계와, 상기 클라이언트 단말기로부터 상기 리다이렉트 URI 정보에 포함된 새로운 URI로 다시 접속 요청이 수신되는지를 검사하는 단계와, 상기 새로운 URI로 상기 접속 요청이 수신되는 경우, 상기 클라이언트 단말기를 정상 사용자의 클라이언트 단말기로 인증하는 단계와, 상기 인증된 클라이언트 단말기에 대해 상기 웹서버로의 접속을 허용하는 단계를 포함한다.
또한, 상기 인증된 상기 클라이언트 단말기에 대한 IP 정보를 화이트 리스트로 등록하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 상기 클라이언트 단말기의 IP 정보가 상기 화이트 리스트에 등록되어 있는지 여부를 검사하는 단계와, 상기 화이트 리스트에 등록되어 있는 경우, 상기 클라이언트 단말기에 대해 상기 웹서버 접속을 허용하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 상기 웹서버 접속 요청이 NON-TCP 프로토콜을 이용한 요청인 경우 상기 클라이언트 단말기의 IP 정보가 상기 화이트 리스트에 존재하는지 검사하는 단계와, 상기 IP 정보가 상기 화이트 리스트에 존재하지 않는 경우 상기 웹서버 접속 요청을 차단시키는 단계를 더 포함하는 것을 특징으로 한다.
또한, 상기 리다이렉트 URI 정보는, 상기 웹서버의 URI 주소에 쿠키 정보를 포함하여 생성되는 것을 특징으로 한다.
또한, 상기 리다이렉트 URI 정보는, HTTP 302 리다이렉트 응답을 이용해서 상기 클라이언트 단말기로 전송되는 것을 특징으로 한다.
또한, 상기 리다이렉트 URI 정보는, 스크립트 로 작성되어 HTTP 200 OK 응답을 이용해서 상기 클라이언트 단말기로 전송되는 것을 특징으로 한다.
또한, 상기 스크립트(script)는, 자바 스크립트(java script) 또는 VB스크립트인 것을 특징으로 한다.
또한, 상기 리다이렉트 URI 정보는, HTTP 200 OK 응답을 통해 전송되며, 상기 리다이렉트 URI 정보와 연결되는 링크가 포함된 HTML 페이지 형태로 전송되는 것을 특징으로 한다.
본 발명은 분산 서비스 거부 공격을 차단함에 있어서, 통신망을 통해 다수의 클라이언트 단말기로부터 특정 웹서버로의 접속 요청이 수신되는 경우, 해당 클라이언트 단말기에 대한 인증을 위해 웹서버로 바로 접속할 수 있는 실제 URI 정보를 제공하는 대신에 리다이렉트 URI 정보를 제공하여 다시 접속하도록 한 후, 리다이렉트 URI 정보에 포함된 새로운 URI 주소로 정확히 웹서버 접속요청이 재차 수신되는지 여부를 검사하여 공격자로 판단된 클라이언트 단말기로부터의 트래픽을 차단시킴으로써 불특정 다수의 클라이언트 단말기로부터 분산 서비스 거부 공격을 효과적으로 차단시킬 수 있도록 하는 이점이 있다.
또한, 본 발명에서는 리다이렉트 URI 정보를 이용한 인증에서 인증에 성공한 클라이언트 단말기에 대해서는 해당 클라이언트 단말기의 IP를 접속을 허용시키는 목록인 화이트 리스트로 관리함으로써 공격자의 수가 상대적으로 많아 블랙리스트 관리가 어려운 분산 서비스 거부 공격에 대해 보다 효과적으로 대처할 수 있도록 하는 이점이 있다.
도 1은 본 발명의 실시 예에 따른 분산 서비스 거부 공격 차단 시스템의 네트워크 구성도,
도 2는 본 발명의 실시 예에 따른 분산 서비스 거부 공격 차단 장치의 상세 블록 구성도,
도 3은 본 발명의 실시 예에 따른 분산 서비스 거부 공격 차단을 위한 신호 처리 흐름도,
도 4는 본 발명의 다른 실시 예에 따른 분산 서비스 거부 공격 차단을 위한 신호 처리 흐름도.
이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 실시예에 따른 분산 서비스 거부 공격 차단 장치를 포함하는 분산 서비스 거부 공격 차단 시스템의 네트워크 구성을 도시한 것이다.
먼저, 클라이언트 단말기(client terminal)(100, 102, 104)는 인터넷(internet) 등의 통신망(communication network)을 통해 사용자가 원하는 서비스를 제공하는 특정 웹서버(web server)(108)에 접속하기 위한 사용자 인터페이스 장치(interface device)로, 예를 들어 PC(personal computer), PDA(personal digital assistant), 스마트폰(smart phone) 등의 단말장치가 될 수 있다. 이러한 클라이언트 단말기(100, 102, 104)는 사용자에 의해 특정 웹서버(108)로의 접속 요청이 있는 경우 웹서버(108) TCP(transmission control protocol) 연결을 수행한 후, 웹서버(108)의 URI 정보를 요청하는 패킷(packet)을 웹서버(108)로 전송하고, 해당 웹서버(108)로부터 URI 정보를 수신한다.
웹서버(108)는 인터넷 등의 통신망에 구현되어 다수의 클라이언트 단말기(100, 102, 104)로 특정 서비스(service)를 제공하는 장치를 말하는 것으로, 예를 들어, 포털 사이트 서버(portal site server)나, 관공서 서버, 오픈 마켓 서버(open market server) 등이 될 수 있다. 이때, 웹서버(108)는 불특정 다수의 클라이언트 단말기(100, 102, 104)로부터의 접속 요청 시 접속 가능한 URI 정보를 제공하고, 웹서버(108)에 접속한 클라이언트 단말기(100, 102, 104)에 웹서버(108)에서 제공하는 서비스를 이용할 수 있는 웹페이지(web page) 등을 표시시켜 사용자가 클라이언트 단말기(100, 102, 104)를 이용하여 서비스를 이용할 수 있도록 할 수 있다.
분산 서비스 거부 공격 차단 장치(106)는 웹서버(108)의 앞단에 설치되어 클라이언트 단말기(100, 102, 104)로부터의 웹서버(108) 접속 요청을 수신하고, 클라이언트 단말기(100, 102, 104)로부터의 접속 요청이 정상적인 트래픽인지 아니면 공격을 위한 트래픽인지 여부를 판단하여 웹서버(108)를 공격하기 위한 트래픽인 경우 해당 클라이언트 단말기(100, 102, 104)로부터의 접속 요청을 차단시켜 분산 서비스 거부 공격을 방지시킨다.
즉, 분산 서비스 거부 공격 차단 장치(106)는 불특정 다수의 클라이언트 단말기(100, 102, 104)로부터 웹서버(108)로의 접속 요청을 위해 전송되는 패킷을 수신하는 경우, 수신된 패킷을 분석하여 패킷의 IP(internet protocol) 정보와 프로토콜 정보, HTTP(hypertext tranfer protocol) 정보 등을 확인한다. 이어, 분산 서비스 거부 공격 차단 장치(106)는 클라이언트 단말기(100, 102, 104)로부터 요청된 웹서버(108)의 URI 정보를 클라이언트 단말기(100, 102, 104)로 바로 송신하여 주는 것이 아니라, 웹서버(108)의 URI 정보를 확인할 수 있는 쿠키(cookie) 정보가 삽입된 리다이렉트(redirect) URI 정보를 클라이언트 단말기(100, 102, 104)로 제공하고, 클라이언트 단말기(100, 102, 104)와의 연결을 끊게 된다.
이에 따라, 리다이렉트 URI 정보를 수신한 클라이언트 단말기(100, 102, 104)가 리다이렉트 URI 정보에 포함된 쿠키정보를 추출하여 분산 서비스 거부 공격 차단 장치(106)가 요청한 새로운 URI로 웹서버 접속 요청을 송신하게 된다. 그러면, 분산 서비스 거부 공격 차단 장치(106)는 쿠키 정보가 포함된 리다이렉트 URI 정보를 수신한 클라이언트 단말기(100, 102, 104)가 쿠키정보를 해석하여 새로이 요구된 URI로 다시 웹서버 접속 요청을 정확하게 전송하는지를 확인하여 클라이언트 단말기(100, 102, 104)에 대한 인증을 수행한 후, 웹서버(108)를 공격하기 위한 트래픽인 경우 해당 클라이언트 단말기(100, 102, 104)로부터의 접속 요청을 차단시켜 분산 서비스 거부 공격을 방지시킨다.
즉, 예를 들어, 사용자 모르게 설치된 공격 프로그램에 의해 클라이언트 단말기(100, 102, 104)가 웹서버(108)를 공격하기 위한 트래픽을 발생하여 웹서버(108)로 접속을 요청하는 경우, 이와 같은 트래픽은 동일한 웹서버(108)의 URI로 반복적으로 접속 요청을 송신하기 때문에 해당 클라이언트 단말기(100, 102, 104)는 리다이렉트 URI 정보에 따라 다시 접속할 것을 요청 받게 되는 경우 리다이렉트 URI 정보에 포함된 쿠키 정보를 제대로 분석하지 못해 분산 서비스 거부 공격 차단 장치(106)가 요청한 새로운 URI로 접속 요청을 송신할 수 없게 된다.
따라서, 분산 서비스 거부 공격 차단 장치(106)는 클라이언트 단말기(100, 102, 104)로 리다이렉트 URI 정보를 전송한 후, 리다이렉트 URI 정보에 포함된 쿠키정보를 해석하여 새로이 요구된 URI 주소로 정확히 다시 웹서버 접속 요청을 수행하는 클라이언트 단말기(100, 102, 104)에 대해서는 정상적인 사용자로 판단하고, 새로이 요구된 URI 주소로 웹서버 접속 요청을 다시 송신하지 못하는 클라이언트 단말기(100, 102, 104)에 대해서는 공격자로 판단하여 웹서버(108)로의 접속을 차단시킴으로서, 분산 서비스 거부 공격을 방지시키게 된다.
도 2는 본 발명의 실시 예에 따른 도 1의 분산 서비스 거부 공격 차단 장치의 상세 블록 구성을 도시한 것으로, 분산 서비스 거부 공격 차단 장치는 통신부(200), 패킷 처리부(202), 인증키 관리부(216), 제어부(210), 화이트 리스트(white list) 관리부(212) 등을 포함한다.
이하, 도 2를 참조하여 본 발명의 분산 서비스 거부 공격 차단장치 각 구성요소의 동작을 상세히 설명하기로 한다.
먼저, 통신부(200)는 인터넷 등의 통신망을 통해 연결되는 다수의 클라이언트 단말기로(100, 102, 104)부터 웹서버(108)로의 접속을 요청하는 패킷을 수신한다.
패킷 처리부(202)는 통신부(200)를 통해 클라이언트 단말기(100, 102, 104)로부터 전송된 웹서버 접속을 요청하는 패킷을 수신하는 경우, 수신된 패킷을 분석하여 패킷의 IP 정보와 프로토콜 정보, HTTP 정보 등을 확인하고, 이를 제어부(210)에 제공하며, 정상적인 사용자 확인을 위해 제어부(210)로부터 인가되는 리다이렉트 URI 정보를 수신하여 통신부(200)를 통해 해당 클라이언트 단말기(100, 102, 104)로 전송한다.
즉, 패킷 처리부(202)내 패킷 수신부(204)는 클라이언트 단말기(100, 102, 104)로부터 전송된 패킷을 수신하여 분산 서비스 거부 공격 차단 장치(106)에서 사용하는 패킷 형식으로 변환한다. 이어, 패킷 분석부(206)는 패킷 수신부(204)로부터 인가되는 클라이언트 단말기(100, 102, 104)로부터의 웹서버 접속 요청을 위한 패킷을 분석하여 패킷의 IP 정보와 프로토콜 정보, HTTP 정보 등을 확인한다. 패킷 전송부(208)는 웹서버 접속을 요청한 해당 클라이언트 단말기(100, 102, 104)로부터의 트래픽이 정상적인 트래픽인지 확인을 위해, 제어부(210)로부터 생성된 쿠키 정보가 포함된 리다이렉트 URI 정보를 인가받아 통신부(202)를 통해 해당 클라이언트 단말기(100, 102, 104)로 전송한다.
제어부(210)는 메모리부(218)에 저장된 동작 프로그램에 따라 분산 서비스 거부 공격 차단장치(106)의 전반적인 동작을 제어한다. 또한, 본 발명의 실시예에 따라 패킷 분석부(206)로부터 분석된 클라이언트 단말기(100, 102, 104)로부터의 웹서버 접속 요청을 위한 패킷의 IP 정보와 프로토콜 정보, HTTP 정보를 이용하여 클라이언트 단말기(100, 102, 104)의 IP 정보와 트래픽 형태 등의 정보를 확인한 후, 해당 클라이언트 단말기(100, 102, 104)에게 웹서버(108)로 접속할 수 있는 리다이렉트 URI 정보를 전송하여 클라이언트 단말기(100, 102, 104)가 리다이렉트 URI 정보에 삽입된 새로운 URI로 정확히 접속 요청을 다시 송신하는지 여부를 검사하여 해당 클라이언트 단말기(100, 102, 104)로부터의 패킷을 허용하거나 또는 차단시킨다.
즉, 제어부(210)는 클라이언트 단말기(100, 102, 104)의 웹서버 접속 요청을 위한 패킷을 수신하는 경우 해당 클라이언트 단말기(100, 102, 104)로부터 요청된 웹서버(108)의 URI 주소 정보를 바로 송신하여 주는 것이 아니라, 웹서버(108)의 URI 주소를 확인할 수 있는 쿠키정보가 포함된 리다이렉트 URI 정보를 제공한다. 이에 따라, 클라이언트 단말기(100, 102, 104)는 쿠키정보가 포함된 리다이렉트 URI 정보를 수신하는 경우, 리다이렉트 URI 정보내 쿠키정보를 분석하여 새로이 접속 요청을 송신할 웹서버(108)의 URI 주소를 산출한 후, 산출된 URI 주소로 다시 웹서버(108)로의 접속 요청을 위한 패킷을 송신하게 된다.
이때 기 설정된 웹서버(108)의 URI 주소로 계속해서 접속 요청을 위한 패킷을 전송하는 분산 서비스 거부 공격을 위한 클라이언트 단말기(100, 102, 104)에서는 위와 같이 쿠키정보가 포함되는 리다이렉트 URI 정보를 분석하지 못해 웹서버(108)의 새로운 URI 주소로 접속 요청을 송신하지 않게 되는데, 제어부(210)는 이와 같이 클라이언트 단말기(100, 102, 104)로부터 새로운 URI 주소로 재차 웹서버 접속을 위한 패킷이 수신되지 않는 경우 이를 분산 서비스 거부 공격으로 판단하여 해당 클라이언트 단말기(100, 102, 104)로부터의 패킷을 차단시킬 수 있다.
즉, 예를 들어, 제어부(210)는 클라이언트 단말기(100, 102, 104)에 대한 인증 방법으로 "302 Found"를 사용하는 경우 HTTP 302 리다이렉트 응답을 이용해서 리다이렉트 URI 정보를 전송할 수 있다. 이 경우 클라이언트 단말기(100, 102, 104)는 리다이렉트 URI 정보를 수신하여 웹서버(108)에 접속할 새로운 URI 주소를 산출하고 다시 접속 요청을 수행하여야 하며, 제어부(210)는 클라이언트 단말기(100, 102, 104)로부터 새로운 URI 주소로 접속 요청이 수신되지 않는 경우 이를 공격을 위한 트래픽으로 판단하여 해당 클라이언트 단말기(100, 102, 104)로부터의 접속 요청을 차단시킬 수 있다.
또한, 예를 들어, 제어부(210)는 클라이언트 단말기(100, 102, 104)에 대한 인증 방법으로 스크립트(script)를 사용하는 경우 HTTP 200 OK 응답을 전송하고, 그 내용에 자바 스크립트(Java script)나 VB 스크립트(VB script)를 이용해서 리다이렉트 URI로 이동하는 스크립트를 전송할 수 있다. 이 경우에는 웹서버(108)의 리다이렉트 URI 정보가 스크립트로 작성되기 때문에 클라이언트 단말기(100, 102, 104)는 스크립트를 해석하여 리다이렉트 URI 정보를 얻어서 다시 접속 요청을 수행하여야 하며, 제어부(210)는 클라이언트 단말기(100, 102, 104)로부터 새로운 URI 주소로 접속 요청이 수신되지 않는 경우 이를 공격을 위한 트래픽으로 판단하여 접속 요청을 차단시킬 수 있다.
또한, 예를 들어, 제어부(210)는 클라이언트 단말기(100, 102, 104)에 대한 인증 방법으로 사용자의 직접 정보 입력이 필요한 수동(manual) 입력을 사용하는 경우, HTTP 200 OK 응답을 전송하고, 그 내용에 리다이렉트 URI로 연결되는 링크가 포함된 HTML 페이지를 전송할 수 있다. 이 경우에 웹서버(108)의 리다이렉트 URI 정보가 클라이언트 단말기(100, 102, 104)의 HTML 페이지상 표시되어 사용자가 직접 입력하도록 되어 있기 때문에 클라이언트 단말기(100, 102, 104)의 사용자가 직접 리다이렉트 URI 정보에 포함된 새로운 URI 주소를 입력하고, 클라이언트 단말기(100, 102, 104)는 사용자로부터 입력된 URI 주소를 이용하여 다시 접속 요청을 수행하여야 하며, 제어부(210)는 클라이언트 단말기(100, 102, 104)로부터 새로운 URI 주소로 접속 요청이 수신되지 않는 경우 이를 공격을 위한 트래픽으로 판단하여 접속 요청을 차단시킬 수 있다.
즉, 분산 서비스 거부 공격 차단 장치(106)의 제어부(210)는 위와 같이 웹서버(108)의 URI 정보에 대한 리다이렉트 과정을 통해 클라이언트 단말기(100, 102, 104)가 리다이렉트 URI 정보를 분석하여 새로운 URI 주소로 다시 접속 요청을 수행하도록 함으로써, 분산 서비스 거부 공격을 위한 비정상적인 클라이언트 단말기(100, 102, 104)가 리다이렉트 URI 정보에 대응할 수 없도록 하여 분산 서비스 거부 공격을 차단시킬 수 있게 된다.
한편, 또한, 인증키 관리부(216)는 사용자 인증에 사용되는 쿠키 정보를 생성하여 제어부(210)로 제공하며, 클라이언트 단말기(100, 102, 104)로부터 전송된 패킷으로부터 추출된 쿠키 정보가 정상인지를 판단하여 해당 정보를 제어부(210)로 제공한다.
화이트 리스트 관리부(212)는 정상 사용자로 인증된 클라이언트 단말기(100, 102, 104)의 IP 목록을 화이트 리스트 DB(214)에 저장하여 관리하며, 웹서버 접속 요청에 따른 클라이언트 단말기(100, 102, 104)의 인증 시 인증 요청된 클라이언트 단말기(100, 102, 104)의 IP가 화이트 리스트 DB(214)에 등록된 IP인지 검색하여 검색 결과를 제어부(210)로 제공한다. 또한, 화이트 리스트 DB(214)에 등록된 클라이언트 단말기(100, 102, 104)의 IP 중 기 설정된 시간이 경과하거나 지정한 접속 요청 횟수가 초과하여 재인증이 필요한 IP에 대해서는 이를 화이트 리스트 DB(214)에서 삭제할 수 있다.
도 3은 본 발명의 실시 예에 따른 분산 서비스 거부 공격 차단 장치에서 분산 서비스 거부 공격을 차단시키기 위한 신호 처리 흐름을 도시한 것이다. 이하, 도 1, 도 2 및 도 3을 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.
먼저, 클라이언트 단말기(100)로부터 웹서버 접속을 위한 웹서버(108)의 URI 정보 요청이 수신되는 경우(S300), 분산 서비스 거부 공격 차단 장치(106)는 해당 웹서버(108)의 앞단에서 클라이언트 단말기(100)로부터의 웹서버 접속 요청을 수신하고 웹서버(108) 대신 클라이언트 단말기(100)와 TCP 연결을 수행한다.
이어, 분산 서비스 거부 공격 차단 장치(106)는 해당 TCP 연결을 통해 클라이언트 단말기(100)로부터 수신된 웹서버 접속을 위한 HTTP 요청에 대해서 기 설정된 인증방법에 따라 웹서버(108)의 실제 URI 정보 대신 쿠키 정보가 포함된 리다이렉트 URI 정보를 클라이언트 단말기(100)로 전송하고(S302) 연결을 끊게 된다.
즉, 분산 서비스 거부 공격 차단 장치(106)는 클라이언트 단말기(100)에 대한 인증 방법으로 예를 들어 "302 Found"를 사용하는 경우 HTTP 302 리다이렉트 응답을 이용해서 리다이렉트 URI 정보를 전송할 수 있다. 이 경우 클라이언트 단말기(100)는 리다이렉트 URI 정보를 수신하여 웹서버(108)에 접속할 새로운 URI 주소를 산출하고 다시 접속 요청을 수행하여야 하며, 분산 서비스 거부 공격 차단 장치(106)는 클라이언트 단말기(100)로부터 새로운 URI 주소로 접속 요청이 수신되지 않는 경우 이를 공격을 위한 트래픽으로 판단하여 접속 요청을 차단시킬 수 있다.
또한, 예를 들어, 분산 서비스 거부 공격 차단 장치(106)는 클라이언트 단말기(100)에 대한 인증 방법으로 스크립트를 사용하는 경우, 클라이언트 단말기(100)로 HTTP 200 OK 응답을 전송하고, 그 내용에 자바 스크립트나 VB 스크립트를 이용해서 리다이렉트 URI로 이동하는 스크립트를 전송할 수 있다. 이 경우에는 웹서버의 리다이렉트 URI 정보가 스크립트로 작성되기 때문에 클라이언트 단말기(100)는 스크립트를 해석하여 리다이렉트 URI 정보를 얻어서 다시 접속 요청을 수행하여야 하며, 분산 서비스 거부 공격 차단 장치(106)는 클라이언트 단말기(100)로부터 새로운 URI 주소로 접속 요청이 수신되지 않는 경우 이를 공격을 위한 트래픽으로 판단하여 접속 요청을 차단시킬 수 있다.
또한, 예를 들어, 분산 서비스 거부 공격 차단 장치(106)는 클라이언트 단말기(100)에 대한 인증 방법으로 사용자의 직접 정보 입력이 필요한 수동(manual) 입력을 사용하는 경우, 클라이언트 단말기(100)로 HTTP 200 OK 응답을 전송하고, 그 내용에 리다이렉트 URI로 연결되는 링크가 포함된 HTML 페이지를 전송할 수 있다. 이 경우에 웹서버의 리다이렉트 URI 정보가 HTML 페이지상 표시되어 사용자가 직접 입력하도록 되어 있기 때문에 클라이언트 단말기(100)의 사용자가 직접 리다이렉트 URI 정보에 포함된 새로운 URI 주소를 입력하고, 클라이언트 단말기(100)는 사용자로부터 입력된 URI 주소를 이용하여 다시 접속 요청을 수행하여야 하며, 분산 서비스 거부 공격 차단 장치(106)는 클라이언트 단말기(100)로부터 새로운 URI 주소로 접속 요청이 수신되지 않는 경우 이를 공격을 위한 트래픽으로 판단하여 접속 요청을 차단시킬 수 있다.
한편, 클라이언트 단말기(100)는 위와 같이 분산 서비스 거부 공격 차단 장치(106)로부터 쿠키 정보가 포함된 리다이렉트 URI 정보를 수신하는 경우 쿠키 정보를 분석하여 새로운 URI 주소로 다시 웹서버 접속 요청을 전송한다(S304).
그러면, 분산 서비스 거부 공격 차단 장치(106)는 클라이언트 단말기(100)와 새로운 TCP 연결을 수행하고, 클라이언트 단말기(100)로부터 전송된 리다이렉트 URI 요청에 포함된 쿠키 정보와 클라이언트 단말기(100)의 IP를 이용해서 인증을 수행한다(S306).
즉, 분산 서비스 거부 공격 차단 장치(106)는 클라이언트 단말기(100)로부터 다시 전송된 웹서버(108)로의 접속 요청이 인증을 위해 유도한 새로운 URI 주소로 정확히 수신되는지 여부를 판단하여 새로운 URI 주소로 정확히 패킷을 송신한 클라이언트 단말기(100)를 정상적인 사용자로 인증을 수행한다.
이어, 분산 서비스 거부 공격 차단 장치(106)는 위와 같이 인증이 성공한 경우 해당 클라이언트 단말기(100)의 IP를 화이트 리스트 관리부(212)로 제공하여 화이트 리스트 DB(214)에 추가시키고, 쿠키 정보를 제거한 원래 웹서버(108)의 실제 URI 정보를 다시 클라이언트 단말기(100)로 제공한다(S308).
그러면, 클라이언트 단말기(100)는 분산 서비스 거부 공격 차단 장치(106)로부터 웹서버(108)로 접속할 수 있는 웹서버(108)의 실제 URI 정보를 가지고 웹서버(108)로 접속을 시도하게 되고, 이때, 해당 클라이언트 단말기(100)는 인증이 수행된 상태이므로, 분산 서비스 거부 공격 차단 장치(106)가 클라이언트 단말기(100)의 웹서버 접속 요청을 차단시키지 않게 됨으로써 클라이언트 단말기(100)가 웹서버(108)로 접속할 수 있게 된다(S310).
한편, 인증에 사용되는 쿠키 정보는 HTTP 요청 패킷의 출발지 IP 정보를 이용해서 생성할 수 있는데, 이는 공격자가 랜덤(random)하게 URI를 생성해서 공격할 때 잘못 인증되는 것을 방지시키기 위함이다. 또한, 위조된 IP로부터 TCP 연결이 들어오는 경우를 대비하여 분산 서비스 거부 공격 차단장치(106)는 위와 같은 TCP 연결에 대한 응답 회수와 간격을 조절할 수 있다. 이는 분산 서비스 거부 공격 차단 장치(106)가 TCP 연결에 대해 회수에 제한 없이 계속 응답하는 과정에서 오히려 분선 서비스 거부 공격과 같은 불필요한 트래픽이 발생하는 것을 방지시키기 위함이다.
도 4는 본 발명의 다른 실시 예에 따른 분산 서비스 거부 공격 차단 장치에서 분산 서비스 거부 공격을 차단시키는 동작 제어 흐름을 도시한 것이다. 이하, 도 1, 도 2 및 도 4를 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.
먼저, 정상 사용자의 클라이언트 단말기(100)로부터 웹서버(108)로의 접속 요청이 있는 경우 분산 서비스 거부 공격 차단 장치(106)는 해당 클라이언트 단말기(100)에 대해 도 3에서 도시된 바와 같은 인증방법을 통해 TCP인증 또는 HTTP 인증을 수행한 후(S400), 정상 사용자의 클라이언트 단말기(100)의 IP를 화이트 리스트 DB(214)에 추가시킨다(S402). 이에 따라, 위와 같이 인증 성공한 클라이언트 단말기(100)는 웹서버(108)와 연결하여 웹서버(108)의 서비스를 제공받게 된다.
이때, 웹서버(108)에 접속하여 서비스를 이용하는 상태에서 클라이언트 단말기(100)는 이용하고자 하는 서비스에 따라 웹서버(108)로 TCP 연결이 아닌 다른 전송 계층 프로토콜, 예를 들어 UDP 또는 ICMP 프로토콜 등을 이용하여 접속할 수도 있다.
위와 같이, 클라이언트 단말기(100)로부터 TCP 프로토콜이 아닌 UDP 또는 ICMP 프로토콜을 이용한 웹서버 접속 요청이 있는 경우(S404), 분산 서비스 거부 공격 차단 장치(106)는 UDP 또는 ICMP 프로토콜을 이용하여 접속 요청하는 클라이언트 단말기(100)에 대해서는 리다이렉트 URI 정보를 전송하는 절차 없이 UDP 또는 ICMP 프로토콜을 통해 전송되는 패킷에서 클라이언트 단말기(100)의 IP 정보를 추출한 후, 해당 IP 정보가 화이트 리스트 DB(214)에 등록된 IP인지를 검사하여 인증을 수행하게 된다(S406).
즉, UDP 또는 ICMP 프로토콜을 이용한 접속 요청은 대부분 TCP 연결을 통해 웹서버(108)와 접속한 이후에 발생하게 되므로 UDP 또는 ICMP 프로토콜을 이용한 접속 요청에 대해서는 해당 클라이언트 단말기(100)의 TCP 연결시 인증된 IP 정보를 이용하여 인증된 IP인지 여부를 검사하는 것으로 공격자를 판단할 수 있게 된다.
한편, 공격자의 클라이언트 단말기(102)로부터 웹서버(108)로의 TCP 연결을 통한 접속 요청이 있는 경우, 분산 서비스 거부 공격 차단 장치(106)는 모든 TCP 연결 요청에 대한 인증에서와 마찬가지로 해당 클라이언트 단말기(100)에 대해 도 3에서 도시된 바와 같은 인증방법을 통해 TCP인증 또는 HTTP 인증을 수행한다(S450).
이때, 정상 사용자의 클라이언트 단말기(100)와 달리 공격자의 클라이언트 단말기(102)는 분산 서비스 거부 공격 차단장치(106)에 의해 수행되는 리다이렉트 URI 정보를 이용한 인증절차에서 제대로 대응하지 못하게 되어 HTTP 인증을 실패하게 된다. 이에 따라, 분산 서비스 거부 공격 차단장치(106)는 해당 클라이언트 단말기(102)로부터의 웹서버 접속 요청을 차단시키고(S452), 해당 클라이언트 단말기의 IP 또한 화이트 리스트 DB(214)에 등록시키지 않는다.
이와 같은 상태에서 TCP 연결이 차단된 공격자의 클라이언트 단말기(102)가 TCP 프로토콜이 아닌 UDP 또는 ICMP 프로토콜을 이용하여 웹서버 접속 요청을 전송하는 경우(S454), 분산 서비스 거부 공격 차단 장치(106)는 UDP 또는 ICMP 프로토콜을 통해 전송되는 패킷에서 해당 클라이언트 단말기(102)의 IP 정보를 추출한 후, 해당 IP 정보가 화이트 리스트 DB(214)에 등록된 IP인지를 검사하고(S456), 등록된 IP가 아닌 경우 해당 클라이언트 단말기(102)를 공격자로 판단하여 UDP 또는 ICMP 프로토콜을 이용한 접속 요청에 대해서도 웹서버(108)로의 접속을 차단시키게 된다(S458).
위와 같이, TCP가 아닌 NON-TCP 프로토콜인 UDP 또는 ICMP 프로토콜을 통한 비인증 IP를 이용한 웹서버 접속 요청의 경우 정상 사용자를 인증하기가 어렵기 때문에 HTTP 기반 사용자 인증에서 생성한 정보를 기반으로 UDP 또는 ICMP에 대한 인증을 수행하게 된다.
한편, 이때, 위 UDP 또는 ICMP와 같은 비인증 IP를 사용하는 접속 요청 중 공격자 클라이언트 단말기를 차단하기 위해 사용되는 인증정보는 예를 들어, 안티 스푸핑 필터(anti-spoofing filter) 인증정보와 BotNet Filter 인증정보를 사용할 수 있다.
또한, 위와 같은 2가지 인증정보를 바탕으로 UDP 또는 ICMP와 같은 비인증 IP를 사용하는 접속 요청에 대해 일반모드와 고급모드의 2 가지 동작방식을 설정하여 공격자 클라이언트 단말기를 차단할 수 있다. 일반모드는 안티 스푸핑 필터의 인증정보 또는 BotNet Filter의 인증정보에 포함된 사용자만 허용, 즉 스푸핑되지 않은 IP로 인증된 IP는 허용하는 방식이며, 고급모드는 BotFilter 인증정보에만 포함된 사용자만 허용, 즉 스푸핑되지 않은 IP라도, 정상적인 HTTP 사용이 아닐 경우 차단시키는 방식이다.
상기한 바와 같이, 본 발명은 분산 서비스 거부 공격을 차단함에 있어서, 통신망을 통해 다수의 클라이언트 단말기로부터 특정 웹서버로의 접속 요청이 수신되는 경우, 해당 클라이언트 단말기에 대한 인증을 위해 웹서버로 바로 접속할 수 있는 실제 URI 정보를 제공하는 대신에 리다이렉트 URI 정보를 제공하여 다시 접속하도록 한 후, 리다이렉트 URI 정보에 포함된 새로운 URI 주소로 정확히 웹서버 접속요청이 재차 수신되는지 여부를 검사하여 공격자로 판단된 클라이언트 단말기로부터의 트래픽을 차단시킴으로써 불특정 다수의 클라이언트 단말기로부터 분산 서비스 거부 공격을 효과적으로 차단시킬 수 있도록 한다. 또한, 본 발명에서는 리다이렉트 URI 정보를 이용한 인증에서 인증에 성공한 클라이언트 단말기에 대해서는 해당 클라이언트 단말기의 IP를 접속을 허용시키는 목록인 화이트 리스트로 관리함으로써 공격자의 수가 상대적으로 많아 블랙리스트 관리가 어려운 분산 서비스 거부 공격에 대해서 보다 효과적으로 대처할 수 있도록 한다.
한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
100 : 클라이언트 단말기 106 : 분산 서비스 거부 공격 차단 장치
108 : 웹서버 200 : 통신부
202 : 패킷 처리부 204 : 패킷 수신부
206 : 패킷 분석부 208 : 패킷 전송부
210 : 제어부 212 : 화이트 리스트 관리부
214 : 화이트 리스트 DB 216 : 인증키 관리부

Claims (23)

  1. 클라이언트 단말기로부터 웹서버 접속을 요청하는 패킷을 수신하는 통신부와,
    상기 수신된 패킷을 분석하여 패킷의 IP 정보 또는 HTTP 프로토콜 정보 중 적어도 하나를 포함하는 패킷 정보를 추출하는 패킷 처리부와,
    상기 패킷 처리부로부터 추출된 패킷 정보를 이용하여 상기 클라이언트 단말기의 IP 정보를 확인하고, 인증을 위한 리다이렉트(redirect) URI 정보를 상기 클라이언트 단말기로 제공한 후, 상기 리다이렉트 URI 정보에 포함된 새로운 URI 주소로 재차 접속 요청을 수행하는 상기 클라이언트 단말기를 정상적인 사용자의 클라이언트 단말기로 인증하고 상기 웹서버 접속을 허용하는 제어부
    를 포함하는 분산 서비스 거부 공격 차단 장치.
  2. 제 1 항에 있어서,
    상기 제어부는,
    상기 웹서버의 URI 주소에 쿠키 정보를 포함하여 상기 리다이렉트 URI 정보를 생성하는
    분산 서비스 거부 공격 차단 장치.
  3. 제 2 항에 있어서,
    상기 제어부는,
    상기 쿠키 정보를 상기 패킷의 출발지 IP 정보를 이용해서 생성시키는
    분산 서비스 거부 공격 차단 장치.
  4. 제 1 항에 있어서,
    상기 제어부는,
    상기 리다이렉트 URI 정보를 HTTP 302 리다이렉트 응답을 이용해서 상기 클라이언트 단말기로 전송하는
    분산 서비스 거부 공격 차단 장치.
  5. 제 1 항에 있어서,
    상기 제어부는,
    상기 리다이렉트 URI 정보를 스크립트(script)로 작성하여 HTTP 200 OK 응답을 이용해서 상기 클라이언트 단말기로 전송하는
    분산 서비스 거부 공격 차단 장치.
  6. 제 5 항에 있어서,
    상기 스크립트(script)는,
    자바 스크립트(java script) 또는 VB스크립트인
    분산 서비스 거부 공격 차단 장치.
  7. 제 1 항에 있어서,
    상기 제어부는,
    상기 리다이렉트 URI 정보를 HTTP 200 OK 응답을 이용해서 상기 클라이언트 단말기로 전송하되, 상기 리다이렉트 URI 정보와 연결되는 링크(link)가 포함된 html 페이지 형태로 전송하는
    분산 서비스 거부 공격 차단 장치.
  8. 제 1 항에 있어서,
    상기 제어부는,
    상기 인증에 성공한 정상 사용자의 클라이언트 단말기들에 대한 IP 정보를 화이트 리스트로 등록하여 관리하는
    분산 서비스 거부 공격 차단 장치.
  9. 제 8 항에 있어서,
    상기 제어부는,
    상기 클라이언트 단말기로부터의 상기 웹서버 접속 요청 시, 상기 클라이언트 단말기의 IP 정보가 상기 화이트 리스트에 등록되어 있는지 여부를 검사하고, 상기 클라이언트 단말기의 IP 정보가 상기 화이트 리스트에 등록되어 있는 경우, 상기 클라이언트 단말기에 대해서는 상기 리다이렉트 URI 정보를 이용한 인증절차 없이 상기 웹서버 접속을 허용하는
    분산 서비스 거부 공격 차단 장치.
  10. 제 8 항에 있어서,
    상기 제어부는,
    상기 화이트 리스트에 등록된 접속 허용된 IP 정보의 클라이언트 단말기 각각에 대해, 일정 기간이 경과하거나 또는 접속 요청 횟수가 기 설정된 횟수를 초과하는 경우, 주기적으로 다시 인증을 수행하여 상기 화이트 리스트상 접속 허용된 IP 정보를 갱신시키는
    분산 서비스 거부 공격 차단 장치.
  11. 제 1 항에 있어서,
    상기 패킷 처리부는,
    상기 패킷을 수신하는 패킷 수신부와,
    상기 패킷을 분석하여 상기 패킷의 IP 정보, 프로토콜 정보 또는 HTTP 정보를 확인하는 패킷 분석부와,
    상기 리다이렉트 URI 정보를 상기 클라이언트 단말기로 전송하는 패킷 전송부
    를 포함하는 분산 서비스 거부 공격 차단 장치.
  12. 제 8 항에 있어서,
    상기 제어부는,
    상기 클라이언트 단말기로부터의 상기 웹서버 접속 요청이 NON-TCP 프로토콜을 이용하여 수신되는 경우, 상기 클라이언트 단말기의 IP 정보가 상기 화이트 리스트에 존재하는지를 검사하여 상기 IP 정보가 상기 화이트 리스트에 존재하지 않는 경우 상기 웹서버 접속 요청을 차단시키는
    분산 서비스 거부 공격 차단 장치.
  13. 제 12 항에 있어서,
    상기 NON-TCP 프로토콜은,
    TCP 프로토콜을 제외한 모든 전송 계층 프로토콜인
    분산 서비스 거부 공격 차단 장치.
  14. 제 13 항에 있어서,
    상기 NON-TCP 프로토콜은,
    UDP 또는 ICMP 프로토콜인
    분산 서비스 거부 공격 차단 장치.
  15. 클라이언트 단말기로부터 웹서버 접속을 요청하는 패킷을 수신하는 단계와,
    상기 수신된 패킷으로부터 상기 클라이언트 단말기의 IP 정보를 확인하고, 상기 클라이언트 단말기로 상기 웹서버로의 접속을 위한 리다이렉트 URI 정보를 전송하는 단계와,
    상기 클라이언트 단말기로부터 상기 리다이렉트 URI 정보에 포함된 새로운 URI로 다시 접속 요청이 수신되는지를 검사하는 단계와,
    상기 새로운 URI로 상기 접속 요청이 수신되는 경우, 상기 클라이언트 단말기를 정상 사용자의 클라이언트 단말기로 인증하는 단계와,
    상기 인증된 클라이언트 단말기에 대해 상기 웹서버로의 접속을 허용하는 단계
    를 포함하는 분산 서비스 거부 공격 차단 방법.
  16. 제 15 항에 있어서,
    상기 인증된 상기 클라이언트 단말기에 대한 IP 정보를 화이트 리스트로 등록하는 단계
    를 더 포함하는 분산 서비스 거부 공격 차단 방법.
  17. 제 16 항에 있어서,
    상기 클라이언트 단말기의 IP 정보가 상기 화이트 리스트에 등록되어 있는지 여부를 검사하는 단계와,
    상기 화이트 리스트에 등록되어 있는 경우, 상기 클라이언트 단말기에 대해 상기 웹서버 접속을 허용하는 단계
    를 더 포함하는 분산 서비스 거부 공격 차단 방법.
  18. 제 16 항에 있어서,
    상기 웹서버 접속 요청이 NON-TCP 프로토콜을 이용한 요청인 경우 상기 클라이언트 단말기의 IP 정보가 상기 화이트 리스트에 존재하는지 검사하는 단계와,
    상기 IP 정보가 상기 화이트 리스트에 존재하지 않는 경우 상기 웹서버 접속 요청을 차단시키는 단계
    를 더 포함하는 분산 서비스 거부 공격 차단 방법.
  19. 제 15 항에 있어서,
    상기 리다이렉트 URI 정보는,
    상기 웹서버의 URI 주소에 쿠키 정보를 포함하여 생성되는
    분산 서비스 거부 공격 차단 방법.
  20. 제 15 항에 있어서,
    상기 리다이렉트 URI 정보는,
    HTTP 302 리다이렉트 응답을 이용해서 상기 클라이언트 단말기로 전송되는
    분산 서비스 거부 공격 차단 방법.
  21. 제 15 항에 있어서,
    상기 리다이렉트 URI 정보는,
    스크립트로 작성되어 HTTP 200 OK 응답을 이용해서 상기 클라이언트 단말기로 전송되는
    분산 서비스 거부 공격 차단 방법.
  22. 제 21 항에 있어서,
    상기 스크립트(script)는,
    자바 스크립트(java script) 또는 VB스크립트인
    분산 서비스 거부 공격 차단 방법.
  23. 제 15 항에 있어서,
    상기 리다이렉트 URI 정보는,
    HTTP 200 OK 응답을 통해 전송되며, 상기 리다이렉트 URI 정보와 연결되는 링크가 포함된 HTML 페이지 형태로 전송되는
    분산 서비스 거부 공격 차단 방법.
KR1020110062126A 2011-06-27 2011-06-27 분산 서비스 거부 공격 차단 장치 및 방법 KR101095447B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020110062126A KR101095447B1 (ko) 2011-06-27 2011-06-27 분산 서비스 거부 공격 차단 장치 및 방법
US14/122,364 US20140373138A1 (en) 2011-06-27 2012-06-26 Method and apparatus for preventing distributed denial of service attack
PCT/KR2012/005043 WO2013002538A2 (en) 2011-06-27 2012-06-26 Method and apparatus for preventing distributed denial of service attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110062126A KR101095447B1 (ko) 2011-06-27 2011-06-27 분산 서비스 거부 공격 차단 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101095447B1 true KR101095447B1 (ko) 2011-12-16

Family

ID=45506497

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110062126A KR101095447B1 (ko) 2011-06-27 2011-06-27 분산 서비스 거부 공격 차단 장치 및 방법

Country Status (3)

Country Link
US (1) US20140373138A1 (ko)
KR (1) KR101095447B1 (ko)
WO (1) WO2013002538A2 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101434387B1 (ko) * 2013-01-02 2014-08-26 주식회사 윈스 분산 서비스 거부 공격 차단 시스템 및 그 차단 방법
KR101598187B1 (ko) * 2014-12-23 2016-02-26 주식회사 시큐아이 DDoS 공격 차단 방법 및 장치
KR101823421B1 (ko) * 2015-10-07 2018-01-31 한국전자통신연구원 화이트리스트 기반의 네트워크 보안 장치 및 방법

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2901664B1 (en) * 2012-09-25 2018-02-14 Thomson Licensing Reducing core network traffic caused by migrant users
US10027761B2 (en) * 2013-05-03 2018-07-17 A10 Networks, Inc. Facilitating a secure 3 party network session by a network device
US9344426B2 (en) * 2013-05-14 2016-05-17 Citrix Systems, Inc. Accessing enterprise resources while providing denial-of-service attack protection
CN104348803B (zh) * 2013-07-31 2018-12-11 深圳市腾讯计算机系统有限公司 链路劫持检测方法、装置、用户设备、分析服务器及系统
US9392019B2 (en) * 2014-07-28 2016-07-12 Lenovo Enterprise (Singapore) Pte. Ltd. Managing cyber attacks through change of network address
US10181031B2 (en) 2014-09-01 2019-01-15 Nippon Telegraph And Telephone Corporation Control device, control system, control method, and control program
CN105991641A (zh) * 2015-08-06 2016-10-05 杭州迪普科技有限公司 一种Portal认证方法及装置
US10673719B2 (en) * 2016-02-25 2020-06-02 Imperva, Inc. Techniques for botnet detection and member identification
US10218805B2 (en) 2016-06-10 2019-02-26 Cloudflare, Inc. Method and apparatus for causing delay in processing requests for internet resources received from client devices
CN106254495B (zh) * 2016-08-17 2020-11-06 新华三技术有限公司 一种重定向方法及装置
US9680951B1 (en) * 2016-09-06 2017-06-13 Cloudflare, Inc. Method and apparatus for causing delay in processing requests for internet resources received from client devices
JP6881949B2 (ja) * 2016-11-08 2021-06-02 キヤノン株式会社 管理システム、および制御方法
US11907354B2 (en) * 2018-08-09 2024-02-20 Cyberark Software Ltd. Secure authentication
CN108833450B (zh) * 2018-08-22 2020-07-10 网宿科技股份有限公司 一种实现服务器防攻击方法及装置
CN110933664B (zh) * 2019-12-01 2022-09-20 杭州云缔盟科技有限公司 一种加速获取终端公网ip的方法
CN112260983B (zh) * 2020-07-01 2023-04-18 北京沃东天骏信息技术有限公司 一种身份验证方法、装置、设备及计算机可读存储介质
CN114172677A (zh) * 2020-09-11 2022-03-11 北京金山云网络技术有限公司 针对秒拨ip的识别方法及装置、系统
US11811760B2 (en) * 2021-04-14 2023-11-07 Citrix Systems, Inc. Sessionless validation of client connections while mitigating cookie hijack attacks
CN114513366A (zh) * 2022-03-03 2022-05-17 安徽省广播电视监测台 一种面向零信任模型的访问控制装置及实现方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060230444A1 (en) 2005-03-25 2006-10-12 At&T Corp. Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
KR100994076B1 (ko) * 2010-04-12 2010-11-12 주식회사 나우콤 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법
KR101038673B1 (ko) 2009-12-18 2011-06-03 주식회사 케이티 백본망 기반 DDoS 대응 서비스 제공방법 및 제공장치

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9444785B2 (en) * 2000-06-23 2016-09-13 Cloudshield Technologies, Inc. Transparent provisioning of network access to an application
AU2003279950A1 (en) * 2002-10-10 2004-05-04 Rocksteady Networks, Inc. System and method for providing access control
US20050028010A1 (en) * 2003-07-29 2005-02-03 International Business Machines Corporation System and method for addressing denial of service virus attacks
US8346960B2 (en) * 2005-02-15 2013-01-01 At&T Intellectual Property Ii, L.P. Systems, methods, and devices for defending a network
US8090877B2 (en) * 2008-01-26 2012-01-03 Citrix Systems, Inc. Systems and methods for fine grain policy driven cookie proxying
CN101674293B (zh) * 2008-09-11 2013-04-03 阿里巴巴集团控股有限公司 一种分布式应用中处理非正常请求的方法及系统
JP5278272B2 (ja) * 2009-09-29 2013-09-04 沖電気工業株式会社 ネットワーク通信装置及びその自動再接続方法
KR20110059919A (ko) * 2009-11-30 2011-06-08 주식회사 케이티 웹 리다이렉트를 이용한 비정상 행위 단말의 제한을 위한 네트워크 접속 관리 방법 및 장치
US8843645B2 (en) * 2010-06-24 2014-09-23 Citrix Systems, Inc. Systems and methods for detecting incomplete requests, TCP timeouts and application timeouts
US20120174196A1 (en) * 2010-12-30 2012-07-05 Suresh Bhogavilli Active validation for ddos and ssl ddos attacks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060230444A1 (en) 2005-03-25 2006-10-12 At&T Corp. Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
KR101038673B1 (ko) 2009-12-18 2011-06-03 주식회사 케이티 백본망 기반 DDoS 대응 서비스 제공방법 및 제공장치
KR100994076B1 (ko) * 2010-04-12 2010-11-12 주식회사 나우콤 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101434387B1 (ko) * 2013-01-02 2014-08-26 주식회사 윈스 분산 서비스 거부 공격 차단 시스템 및 그 차단 방법
KR101598187B1 (ko) * 2014-12-23 2016-02-26 주식회사 시큐아이 DDoS 공격 차단 방법 및 장치
KR101823421B1 (ko) * 2015-10-07 2018-01-31 한국전자통신연구원 화이트리스트 기반의 네트워크 보안 장치 및 방법

Also Published As

Publication number Publication date
US20140373138A1 (en) 2014-12-18
WO2013002538A3 (en) 2013-03-14
WO2013002538A2 (en) 2013-01-03

Similar Documents

Publication Publication Date Title
KR101095447B1 (ko) 분산 서비스 거부 공격 차단 장치 및 방법
US8904558B2 (en) Detecting web browser based attacks using browser digest compute tests using digest code provided by a remote source
US9825928B2 (en) Techniques for optimizing authentication challenges for detection of malicious attacks
Ndatinya et al. Network forensics analysis using Wireshark
US7373524B2 (en) Methods, systems and computer program products for monitoring user behavior for a server application
US20050187934A1 (en) Methods, systems and computer program products for geography and time monitoring of a server application user
US20050188080A1 (en) Methods, systems and computer program products for monitoring user access for a server application
US20050188222A1 (en) Methods, systems and computer program products for monitoring user login activity for a server application
US20050188221A1 (en) Methods, systems and computer program products for monitoring a server application
US20050198099A1 (en) Methods, systems and computer program products for monitoring protocol responses for a server application
US20050188079A1 (en) Methods, systems and computer program products for monitoring usage of a server application
US20170359349A1 (en) Method and apparatus for causing a delay in processing requests for internet resources received from client devices
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
US20110016523A1 (en) Apparatus and method for detecting distributed denial of service attack
US8726384B2 (en) Apparatus, and system for determining and cautioning users of internet connected clients of potentially malicious software and method for operating such
Maksutov et al. Detection and prevention of DNS spoofing attacks
KR101281160B1 (ko) 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법
Chatzoglou et al. Revisiting QUIC attacks: A comprehensive review on QUIC security and a hands-on study
KR101463873B1 (ko) 정보 유출 차단 장치 및 방법
KR101022508B1 (ko) 서비스 거부 공격 및 분산 서비스 공격 차단 시스템
CN108494731B (zh) 一种基于双向身份认证的抗网络扫描方法
KR101196325B1 (ko) 분산서비스거부 공격 탐지장치 및 방법
KR100805316B1 (ko) 명령어 코드 통제리스트 기반의 웹 서비스 보안시스템 및그 방법
CN114567479B (zh) 一种智能设备安全管控加固及监测预警方法
CN111669376B (zh) 一种内网安全风险识别的方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141212

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161212

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171212

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181212

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20191212

Year of fee payment: 9