KR101104599B1 - 네트워크 상에서 tcp syn 플러딩 공격을 차단하는 장치 및 방법 - Google Patents
네트워크 상에서 tcp syn 플러딩 공격을 차단하는 장치 및 방법 Download PDFInfo
- Publication number
- KR101104599B1 KR101104599B1 KR1020090076030A KR20090076030A KR101104599B1 KR 101104599 B1 KR101104599 B1 KR 101104599B1 KR 1020090076030 A KR1020090076030 A KR 1020090076030A KR 20090076030 A KR20090076030 A KR 20090076030A KR 101104599 B1 KR101104599 B1 KR 101104599B1
- Authority
- KR
- South Korea
- Prior art keywords
- client
- server
- tcp
- packet
- syn
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
또한, 미국특허공보 제7,254,133호(2007.08.07)와 같이 SYN 쿠키 방식을 방화벽에 적용하는 방식이 있지만, 이는 서버와의 TCP 연결을 생성하기도 전에 클라이언트와 3-웨이 핸드쉐이킹(3-way handshaking) 방식의 TCP 연결을 생성하기 때문에, 서버와의 연결을 생성하기 이전에 클라이언트로부터 전송되는 데이터를 버퍼에 저장해야 하는 단점이 있다. 또한, 후단 서버의 해당 포트에 서버 프로그램이 없는 경우에도 클라이언트는 중계자(방화벽)와 연결을 만들고 이후 접속이 끊어지기 때문에 사용자 투명성이 부족한 단점이 있다.
Claims (15)
- 네트워크 상에서 TCP SYN 플러딩(flooding) 공격을 차단하는 장치로서,클라이언트와의 TCP 연결을 위한 제1 인터페이스;서버와의 TCP 연결을 위한 제2 인터페이스; 및상기 제1 인터페이스 및 제2 인터페이스와 연결되어 상기 클라이언트와 상기 서버 사이를 중계하는 프로세서를 포함하고,상기 프로세서는상기 클라이언트로부터 상기 클라이언트와 서버의 연결 설정을 위한 SYN 패킷을 수신하면 TCP 동시 개방 연결(simultaneous open connection) 방식을 이용하여 상기 클라이언트로 TCP SYN 플러딩 공격 여부를 판단하기 위한 타임스탬프(Timestamp) 옵션을 적용한 SYN 패킷을 전송하고, 상기 클라이언트로부터 타임스탬프 옵션이 적용된 ACK 패킷을 수신하면 TCP SYN 플러딩 공격이 아닌 것으로 판단하고 3-웨이 핸드쉐이킹(3-way handshaking) 방식을 이용하여 상기 서버와 TCP 연결을 생성한 후 상기 클라이언트로 상기 클라이언트와 서버의 연결 설정을 위한 SYN 패킷에 응답하는 ACK 패킷을 전송하고, 상기 클라이언트와 상기 서버 사이를 중계하는 것을 특징으로 하는 TCP SYN 플러딩 공격 차단 장치.
- 삭제
- 삭제
- 제1항에 있어서, 상기 클라이언트와 상기 서버 사이의 중계는,상기 프로세서가 상기 클라이언트 또는 상기 서버로부터 TCP 패킷을 수신하면 TCP 시퀀스(sequence) 번호 및 확인응답(acknowledgement) 번호를 변경하여 상기 서버 또는 상기 클라이언트로 전송함으로써 수행되는 것을 특징으로 하는 TCP SYN 플러딩 공격 차단 장치.
- 제1항에 있어서,상기 프로세서는 소정 시간 이내에 상기 클라이언트로부터 타임스탬프 옵션이 적용된 ACK 패킷을 수신하지 못하면 TCP SYN 플러딩 공격으로 판단하여 상기 클라이언트와 서버의 연결을 차단하는 것을 특징으로 하는 TCP SYN 플러딩 공격 차단 장치.
- 제1항, 제4항, 제5항 중 어느 한 항에 있어서,상기 TCP SYN 플러딩 공격 차단 장치는 게이트웨이(gateway), 라우터(router), L4(Layer 4) 스위치 중 적어도 하나로 구현되는 것을 특징으로 하는 TCP SYN 플러딩 공격 차단 장치.
- 네트워크 상에서 TCP SYN 플러딩(flooding) 공격을 차단하는 시스템으로서,상기 네트워크를 통해 적어도 하나의 서비스를 요구하는 클라이언트;상기 네트워크를 통해 상기 적어도 하나의 서비스를 제공하는 서버; 및상기 클라이언트와 상기 서버 사이에 위치하는 방화벽(firewall)을 포함하고,상기 방화벽은상기 클라이언트로부터 상기 클라이언트와 서버의 연결 설정을 위한 SYN 패킷을 수신하면 TCP 동시 개방 연결(simultaneous open connection) 방식을 이용하여 상기 클라이언트로 TCP SYN 플러딩 공격 여부를 판단하기 위한 타임스탬프(Timestamp) 옵션을 적용한 SYN 패킷을 전송하고, 상기 클라이언트로부터 타임스탬프 옵션이 적용된 ACK 패킷을 수신하면 TCP SYN 플러딩 공격이 아닌 것으로 판단하고 3-웨이 핸드쉐이킹(3-way handshaking) 방식을 이용하여 상기 서버와 TCP 연결을 생성한 후 상기 클라이언트로 상기 클라이언트와 서버의 연결 설정을 위한 SYN 패킷에 응답하는 ACK 패킷을 전송하고, 상기 클라이언트와 상기 서버 사이를 중계하는 것을 특징으로 하는 TCP SYN 플러딩 공격 차단 시스템.
- 삭제
- 삭제
- 제7항에 있어서,상기 방화벽은 게이트웨이(gateway), 라우터(router), L4(Layer 4) 스위치 중 적어도 하나로 구현되는 것을 특징으로 하는 TCP SYN 플러딩 공격 차단 시스템.
- 네트워크 상에서 TCP SYN 플러딩(flooding) 공격을 차단하는 방법으로서,방화벽(firewall)이 클라이언트로부터 상기 클라이언트와 서버의 연결 설정을 위한 SYN 패킷을 수신하는 단계;상기 방화벽이 TCP 동시 개방 연결(simultaneous open connection) 방식을 이용하여 상기 클라이언트로 TCP SYN 플러딩 공격 여부를 판단하기 위한 타임스탬프(Timestamp) 옵션을 적용한 SYN 패킷을 전송하는 단계;상기 방화벽이 상기 클라이언트로부터 타임스탬프 옵션이 적용된 ACK 패킷을 수신하면 TCP SYN 플러딩 공격이 아닌 것으로 판단하고, 3-웨이 핸드쉐이킹(3-way handshaking) 방식을 이용하여 상기 서버와 TCP 연결을 생성하는 단계;상기 방화벽이 상기 클라이언트로 상기 클라이언트와 서버의 연결 설정을 위한 SYN 패킷에 응답하는 ACK 패킷을 전송하여, 상기 방화벽과 클라이언트 사이에 TCP 연결을 생성하는 단계; 및상기 방화벽이 상기 클라이언트와 상기 서버 사이를 중계하는 단계를 포함하는 TCP SYN 플러딩 공격 차단 방법.
- 삭제
- 삭제
- 제11항에 있어서, 상기 클라이언트와 상기 서버 사이의 중계는,상기 방화벽이 상기 클라이언트 또는 상기 서버로부터 TCP 패킷을 수신하면 TCP 시퀀스(sequence) 번호 및 확인응답(acknowledgement) 번호를 변경하여 상기 서버 또는 상기 클라이언트로 전송함으로써 수행되는 것을 특징으로 하는 TCP SYN 플러딩 공격 차단 방법.
- 제11항 또는 제14항에 따른 TCP SYN 플러딩 공격 차단 방법을 수행하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090076030A KR101104599B1 (ko) | 2009-08-18 | 2009-08-18 | 네트워크 상에서 tcp syn 플러딩 공격을 차단하는 장치 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090076030A KR101104599B1 (ko) | 2009-08-18 | 2009-08-18 | 네트워크 상에서 tcp syn 플러딩 공격을 차단하는 장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110018528A KR20110018528A (ko) | 2011-02-24 |
KR101104599B1 true KR101104599B1 (ko) | 2012-01-12 |
Family
ID=43776140
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090076030A KR101104599B1 (ko) | 2009-08-18 | 2009-08-18 | 네트워크 상에서 tcp syn 플러딩 공격을 차단하는 장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101104599B1 (ko) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101641799B1 (ko) * | 2014-12-30 | 2016-07-29 | 주식회사 이노피아테크 | Tcp 세션을 복원하는 장애조치 시스템 및 방법 |
KR20180032864A (ko) * | 2016-09-23 | 2018-04-02 | 주식회사 윈스 | 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7254133B2 (en) * | 2002-07-15 | 2007-08-07 | Intel Corporation | Prevention of denial of service attacks |
-
2009
- 2009-08-18 KR KR1020090076030A patent/KR101104599B1/ko active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7254133B2 (en) * | 2002-07-15 | 2007-08-07 | Intel Corporation | Prevention of denial of service attacks |
Non-Patent Citations (1)
Title |
---|
Christoph L. Scuba, et al.,"Analysis of a Denial of Service Attack on TCP", IEEE Symposium on Security and Privacy, Oakland, CA, 1997.5 |
Also Published As
Publication number | Publication date |
---|---|
KR20110018528A (ko) | 2011-02-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Iyengar et al. | QUIC: A UDP-based multiplexed and secure transport | |
Schulzrinne et al. | GIST: general internet signalling transport | |
Cheng et al. | TCP fast open | |
JP6858749B2 (ja) | 負荷平衡システムにおいて接続を確立するデバイス及び方法 | |
Touch | Defending TCP against spoofing attacks | |
Duke et al. | A roadmap for transmission control protocol (TCP) specification documents | |
AU2004217318B2 (en) | Using TCP to authenticate IP source addresses | |
RU2766438C2 (ru) | Способы двунаправленного обмена пакетами по узловым путям | |
CA2548476C (en) | Preventing network data injection attacks using duplicate-ack and reassembly gap approaches | |
CN106685930B (zh) | 一种传输控制协议选项的处理方法及装置 | |
US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
JP2006042156A (ja) | サーバ装置、その制御方法およびコネクション確立方法 | |
CN110266678B (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
US20150189010A1 (en) | Communication network with load balancing functionality | |
US20090316719A1 (en) | Method for managing mechanisms to enhance transmission of data streams in a tunnel, corresponding computer program product, storage medium and tunnel end-point | |
WO2010000171A1 (zh) | 一种通信的建立方法、系统和装置 | |
Simpson | TCP cookie transactions (TCPCT) | |
Cao et al. | 0-rtt attack and defense of quic protocol | |
KR101104599B1 (ko) | 네트워크 상에서 tcp syn 플러딩 공격을 차단하는 장치 및 방법 | |
US7565694B2 (en) | Method and apparatus for preventing network reset attacks | |
US8595477B1 (en) | Systems and methods for reducing handshake delay in streaming protocol web requests | |
US11038994B2 (en) | Technique for transport protocol selection and setup of a connection between a client and a server | |
Cheng et al. | RFC 7413: TCP fast open | |
Vernersson | Analysis of UDP-based reliable transport using network emulation | |
US11496438B1 (en) | Methods for improved network security using asymmetric traffic delivery and devices thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
N231 | Notification of change of applicant | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20141231 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20151228 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20170102 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20171213 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20190102 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20191226 Year of fee payment: 9 |