KR101109563B1 - Apparatus and method for guranteeing internet service - Google Patents
Apparatus and method for guranteeing internet service Download PDFInfo
- Publication number
- KR101109563B1 KR101109563B1 KR1020100061277A KR20100061277A KR101109563B1 KR 101109563 B1 KR101109563 B1 KR 101109563B1 KR 1020100061277 A KR1020100061277 A KR 1020100061277A KR 20100061277 A KR20100061277 A KR 20100061277A KR 101109563 B1 KR101109563 B1 KR 101109563B1
- Authority
- KR
- South Korea
- Prior art keywords
- user
- service
- normal
- turing test
- server
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
인터넷 서비스 보장 장치 및 방법이 개시된다. 정상 사용자에게만 대기 우선순위에 따라 서비스를 제공하여 정상적인 인터넷 서비스를 보장하기 위한 인터넷 서비스 보장 장치는 반전 튜링 테스트 검증부, 사용자 대기 관리부, 및 서비스 제공부를 포함한다.
반전 튜링 테스트 검증부는 TCP 연결이 확립된 사용자에게 반전 튜링 테스트 정보를 전송하고, 사용자로부터 반전 튜링 테스트 정보에 대한 정상 응답이 수신될 경우, 사용자를 정상 사용자로 인증하는 인증 쿠키를 사용자에게 전송하며, 사용자 대기 관리부는 정상 사용자에 의해 서버의 서비스 부하 상태일 경우, 인증 쿠키를 이용하여 정상 사용자의 대기 우선순위를 설정하고, 서비스 제공부는 정상 사용자가 서비스를 재요청할 경우, 대기 우선순위에 따라 서비스를 제공한다.
이로 인해, 정상 사용자를 모방하는 Bot 기반의 분산서비스거부(DDoS) 공격 발생시뿐만 아니라 정상 사용자에 의한 트래픽 폭주(Flash Crowd) 발생시에도 정상적인 인터넷 서비스를 보장할 수 있다. An apparatus and method for guaranteeing Internet service are disclosed. An Internet service guarantee apparatus for providing a service according to a standby priority only to a normal user to guarantee normal Internet service includes a reverse turing test verification unit, a user standby manager, and a service provider.
The inverse Turing test verifier transmits inverse Turing test information to a user who has established a TCP connection, and when a normal response to the inverse Turing test information is received from the user, transmits an authentication cookie for authenticating the user as a normal user to the user. The user standby management unit sets the standby priority of the normal user by using the authentication cookie when the normal user is under service load of the server, and the service provider sets the service according to the standby priority when the normal user re-requests the service. to provide.
As a result, a normal Internet service can be guaranteed not only when a Bot-based distributed denial of service (DDoS) attack that mimics a normal user but also when a flash crowd occurs by a normal user.
Description
본 발명은 인터넷 서비스 보장 장치 및 방법에 관한 것으로, 보다 상세하게는 정상 사용자에게만 대기 우선순위에 따라 서비스를 제공하여 정상적인 인터넷 서비스를 보장하기 위한 장치 및 방법에 관한 것이다. The present invention relates to an apparatus and a method for guaranteeing an Internet service, and more particularly, to an apparatus and a method for guaranteeing normal Internet service by providing a service according to a standby priority only to a normal user.
오늘날 모든 기업들은 인터넷 및 네트워크에 의존하여 비즈니스를 영위하고 있으며, 비즈니스 환경은 높은 수준의 인터넷 및 네트워크의 신뢰성, 안정성, 고성능을 요구하고 있다. 특히, 인터넷 포탈, 인터넷 쇼핑몰, 인터넷 뱅킹, 인터넷 입찰 및 구매 시스템, 인터넷 접수 등 대다수의 기업에서 사용하는 인터넷 서비스의 경우에는 인터넷 의존도가 절대적이며, 안정적인 인터넷 서비스의 제공이 곧 기업의 비즈니스 활동과 직결되고 있다. Today, all businesses depend on the Internet and networks to do business, and business environments demand high levels of reliability, reliability, and high performance from the Internet and networks. In particular, Internet service, which is used by most companies such as internet portals, internet shopping malls, internet banking, internet bidding and purchasing systems, and internet reception, is absolutely dependent on the Internet. Providing stable Internet service is directly related to the business activities of the company. It is becoming.
이러한 안정적인 인터넷 서비스의 가장 큰 장애요인은 분산서비스거부(DDoS) 공격과 특정 사이트에 정상 사용자가 몰리는 트래픽 폭주 현상(Flash Crowd)으로 구분할 수 있다.The biggest obstacles to such stable Internet services can be divided into distributed denial of service (DDoS) attacks and flash crowds where normal users are concentrated on specific sites.
Bot에 의한 DDoS 공격은 Bot에 감염된 수많은 PC들이 사용되는데, PC들은 이메일의 악성 첨부파일, 파일 다운로드, 웹 서핑, 웜(worm) 등 다양한 경로로 Bot에 감염되며, 감염된 PC들은 모두 Botmaster의 조종을 받아 DDoS, 스팸 발송, 키보드 로깅 등 어떠한 명령이라도 수행하게 된다. 1990년대부터 2009년 77 DDoS 대란에 이르기까지 분산서비스거부(DDoS) 공격은 사이버 위협 종류 중에서 악성코드 다음으로 피해가 큰 위협이 되고 있다. DDoS attacks by Bot are used by numerous PCs infected with Bot, which are infected by Bot through various paths such as malicious attachments of emails, file downloads, web surfing, and worms. It will execute any command such as DDoS, spamming, keyboard logging, etc. From the 1990s to the 77 DDoS turbulence of 2009, distributed denial of service (DDoS) attacks are the most serious threats after malicious code among cyber threat types.
이러한 공격에 의한 피해를 줄이기 위해 다양한 보안 벤더에서 각종 DDoS 공격 방어 장치(Anti-DDoS 솔루션)들을 출시하여 많은 종류의 분산 서비스 거부(DDoS) 공격으로부터 서비스를 보호할 수 있게 되었으나, 최근의 분산 서비스 거부(DDoS) 공격은 기존 Anti-DDoS 장비들의 방어 메커니즘을 우회할 수 있는 정상 사용자를 흉내 내는 애플리케이션 수준의 공격을 수행함으로써, 탐지 및 방어가 불가능하다. To reduce the damage caused by these attacks, various security vendors have released various DDoS attack defense devices (Anti-DDoS solutions) to protect the service from many kinds of distributed denial of service (DDoS) attacks. (DDoS) attacks are application-level attacks that mimic normal users who can bypass the defense mechanisms of existing Anti-DDoS devices, making them impossible to detect and defend.
즉, 최근의 Bot에 의한 DDoS 공격은 정상 사용자와의 구분이 기술적으로 불가능하게 감행됨으로써 서버의 CPU 및 메모리를 효과적으로 고갈시키므로 기존의 Anti-DDoS 솔루션으로도 방어가 불가능하며, 이러한 공격이 발생할 경우, 정상적인 인터넷 서비스는 매우 어려워지게 된다. In other words, the recent DDoS attack by Bot effectively depletes the server's CPU and memory by technically impossible to distinguish from normal users, so even the existing Anti-DDoS solution cannot be defended. Normal Internet service becomes very difficult.
또한, 기존 DDoS 공격 방어 장치들은 분산서비스거부(DDoS) 공격을 방어하기 위한 장비이므로, 사용자가 특정 사이트에 몰리는 트래픽 폭주 현상(Flash Crowd)이 발생할 경우, 어떠한 서비스 보호 기능도 제공할 수 없다. In addition, the existing DDoS attack defense devices are devices for defending against distributed denial of service (DDoS) attacks, so when a user experiences a crowd of traffic crowds (Flash Crowd), it cannot provide any service protection.
이러한 트래픽 폭주 현상(Flash Crowd)이 발생할 경우, 정상적인 사용자라고 하더라도 인터넷 서비스를 받는 것이 매우 어렵게 되는데, 이는 사이트 구축 당시에 예측한 최대 사용자보다 더 많은 사용자가 짧은 시간에 몰릴 경우, 네트워크 대역폭 및 서버의 CPU, 메모리 등 용량의 부족에서 기인된다. When such a flash crowd occurs, it is very difficult for even normal users to receive Internet service, which means that if more users are gathered in less time than the maximum users predicted at the time of site construction, network bandwidth and server CPU , Memory is due to lack of capacity.
오늘날 대다수의 기업에서 사용하고 있는 인터넷 쇼핑몰, 인터넷 뱅킹, 인터넷 입찰 및 구매 시스템, 인터넷 접수 등의 인터넷 서비스의 경우, 장기적인 장애 발생 또는 접속 지연될 경우, 매출 하락 등 직접적인 경제적 손실이 초래될 뿐만 아니라 기업 명예 실추, 고객 이탈 등 막대한 피해를 입을 수밖에 없다. Internet services such as Internet shopping malls, Internet banking, Internet bidding and purchasing systems, and Internet receptions, which are used by most companies today, not only lead to direct economic losses, such as lower sales, if long-term failures or delays occur. There is no choice but to suffer enormous damage such as loss of reputation and customer churn.
이처럼 중요한 인터넷 서비스를 효율적으로 보장하기 위하여 네트워크 대역폭을 효율적으로 할당하기 위한 QoS(Quality of Service)와 같은 네트워크 장치가 있으나, 이는 네트워크 대역폭 사용량을 서비스별로 조정하는 장치로서, DDoS 공격 발생시나 정상 사용자에 의한 트래픽 폭주(Flash Crowd) 발생시에는 효과를 발휘하기 어렵다. There is a network device such as Quality of Service (QoS) for efficiently allocating network bandwidth in order to efficiently guarantee such important Internet services, but it is a device that adjusts the network bandwidth usage by service, and it can be used for DDoS attacks or normal users. It is difficult to have an effect when a flash crowd occurs.
결론적으로, 상술한 바와 같이, 인터넷 서비스 보호 및 보증을 위한 노력이 계속되어 왔으나 최근의 Bot기반 분산서비스거부(DDoS) 공격이나 정상 사용자의 폭주(Flash Crowd) 발생시에는 아직 구체적이고 명확한 해결책을 제시하지 못한 상태이다.In conclusion, as described above, efforts for protecting and guaranteeing Internet services have been continued. However, in the case of recent Bot-based distributed denial of service (DDoS) attacks or flash crowds of normal users, no concrete and clear solutions have yet been proposed. It is not.
본 발명은 이와 같은 종래의 문제점을 해결하기 위해 안출된 것으로서, 정상 사용자를 인증하여, 정상 사용자를 모방하는 Bot 기반의 분산서비스거부(DDoS) 공격 발생시에 정상적인 인터넷 서비스를 보장하는 것을 목적으로 한다. The present invention has been made to solve such a conventional problem, and aims to guarantee normal Internet service when Bot-based distributed denial-of-service (DDoS) attacks occur by authenticating normal users.
또한, 본 발명은 정상 사용자에 의한 트래픽 폭주(Flash Crowd) 발생시에도 정상적인 인터넷 서비스를 보장하는 것을 목적으로 한다. In addition, an object of the present invention is to ensure a normal Internet service even in the event of a flash crowd by a normal user.
상술한 관제를 해결하기 위한 본 발명에 따른 인터넷 서비스 보장 장치는 반전 튜링 테스트 검증부, 사용자 대기 관리부, 및 서비스 제공부를 포함한다. Internet service guarantee apparatus according to the present invention for solving the above-described control includes a reverse turing test verification unit, a user standby management unit, and a service providing unit.
반전 튜링 테스트 검증부는 TCP 연결이 확립된 사용자에게 반전 튜링 테스트 정보를 전송하고, 사용자로부터 반전 튜링 테스트 정보에 대한 정상 응답이 수신될 경우, 사용자를 정상 사용자로 인증하는 인증 쿠키를 사용자에게 전송하며, 사용자 대기 관리부는 정상 사용자에 의해 서버의 서비스 부하 상태일 경우, 인증 쿠키를 이용하여 정상 사용자의 대기 우선순위를 설정하고, 서비스 제공부는 정상 사용자가 서비스를 재요청할 경우, 대기 우선순위에 따라 서비스를 제공한다. The inverse Turing test verifier transmits inverse Turing test information to a user who has established a TCP connection, and when a normal response to the inverse Turing test information is received from the user, transmits an authentication cookie for authenticating the user as a normal user to the user. The user standby management unit sets the standby priority of the normal user by using the authentication cookie when the normal user is under service load of the server, and the service provider sets the service according to the standby priority when the normal user re-requests the service. to provide.
이로 인해, 정상 사용자를 모방하는 Bot 기반의 분산서비스거부(DDoS) 공격 발생시뿐만 아니라 정상 사용자에 의한 트래픽 폭주(Flash Crowd) 발생시에도 정상적인 인터넷 서비스를 보장할 수 있다. As a result, a normal Internet service can be guaranteed not only when a Bot-based distributed denial of service (DDoS) attack that mimics a normal user but also when a flash crowd occurs by a normal user.
또한, 반전 튜링 테스트 검증부는 반전 튜링 테스트 정보로 캡차(CAPTCHA)를 이용할 수 있다. In addition, the inverse Turing test verifier may use a CAPTCHA as the inverse Turing test information.
또한, 본 발명에 따른 인터넷 서비스 보장 장치는 초기 순서번호를 지정한 SYN 쿠키를 사용자에게 전송하고, 사용자로부터의 응답과 '초기 순서번호+1'이 일치할 경우 TCP 연결을 확립하는 SYN 쿠키 검증부를 더 포함할 수 있는데, 이로 인해 Bot으로부터의 SYN flood를 이용한 DoS 공격을 막을 수 있다. In addition, the Internet service guarantee apparatus according to the present invention transmits a SYN cookie specifying the initial sequence number to the user, and further comprises a SYN cookie verification unit for establishing a TCP connection when the response from the user and the 'initial sequence number + 1' match This can prevent DoS attacks using SYN floods from Bot.
또한, SYN 쿠키 검증부는 반전 튜링 테스트 검증부의 정상 사용자 단말 인증, 또는 서비스 제공부의 서비스 제공을 비동기적으로 수행하도록 할 수 있는데, 이로 인해, 인터넷 서비스 보장 장치에서 사용자에게 하나의 데이터 전송 후 TCP 연결을 해제하고, 새로운 연결로 응답을 수신하게 되어, 정상 사용자를 가장한 Bot이 서버에 접속하는 것을 막을 수 있다. In addition, the SYN cookie verification unit may be configured to asynchronously perform the normal user terminal authentication of the reverse Turing test verification unit, or to provide the service of the service provider unit asynchronously, so that the Internet service guarantee apparatus performs a TCP connection after transmitting one data to the user. It releases and receives the response on the new connection, preventing the Bot impersonating the normal user from connecting to the server.
또한, 본 발명에 따른 인터넷 서비스 보장 장치는 주기적으로 서버에 서비스를 요청하고, 요청한 서비스에 대해 측정된 응답 시간을 미리 설정된 응답 시간과 비교하여, 서버의 서비스 부하 여부를 측정하는 서비스 부하 측정부를 더 포함할 수 있는데, 이로 인해, 서버의 서비스가 부하 상태일 경우에만 정상 사용자를 인증하여 서비스를 제공하도록 할 수 있다.
In addition, the Internet service guarantee apparatus according to the present invention periodically requests a service to the server, and compares the response time measured for the requested service with a preset response time, the service load measurement unit for measuring the service load of the server further In this case, it is possible to authenticate a normal user to provide a service only when the service of the server is under load.
아울러, 상기 장치를 방법의 형태로 구현한 발명이 개시된다.In addition, an invention embodying the apparatus in the form of a method is disclosed.
본 발명에 의해 반전 튜링 테스트(RTT, Reverse Turing Test) 기법을 통해 정상 사용자를 인증하여, 정상 사용자를 모방하는 Bot 기반의 분산서비스거부(DDoS) 공격 발생시에 정상적인 인터넷 서비스를 보장할 수 있다. According to the present invention, normal Internet services can be guaranteed when Bot-based distributed denial of service (DDoS) attacks occur by authenticating normal users by using a Reverse Turing Test (RTT) technique.
또한, 정상 사용자에 의한 트래픽 폭주(Flash Crowd) 발생시에도 접속 순서에 따라 사용자에게 대기 우선순위를 부여하고, 해당 사용자가 재접속할 경우 대기 우선순위에 따라 서비스를 제공하므로 정상적인 인터넷 서비스를 보장할 수 있다. In addition, even when a traffic crowd (Flash Crowd) occurs by a normal user, the priority is given to the user according to the access order, and when the user reconnects, the service is provided according to the priority of the user, thereby ensuring normal Internet service. .
도 1은 본 발명에 따른 인터넷 서비스 보장 장치 구성의 일 실시예를 개략적으로 나타낸 블록도.
도 2는 정상 사용자 인증을 위한 데이터의 흐름을 도시한 도면.
도 3은 캡차의 일 실시예를 도시한 도면.
도 4는 사용자 대기 관리를 위한 데이터 흐름을 도시한 도면.
도 5는 본 발명에 따른 인터넷 서비스 보장 방법의 일 실시예를 개략적으로 나타낸 흐름도.
도 6은 TCP 연결 확립 및 정상 사용자 인증 단계를 상세히 나타낸 흐름도.
도 7의 (a)는 TCP 연결 #1에서의 데이터의 흐름을 도시한 도면.
도 7의 (b)는 TCP 연결 #2에서의 데이터의 흐름을 도시한 도면.
도 7의 (c)는 TCP 연결 #3에서의 데이터의 흐름을 도시한 도면.Figure 1 is a block diagram schematically showing an embodiment of the configuration of the Internet service guarantee apparatus according to the present invention.
2 shows a flow of data for normal user authentication.
3 illustrates one embodiment of a captcha.
4 is a diagram illustrating a data flow for user waiting management.
5 is a flowchart schematically illustrating an embodiment of a method for guaranteeing Internet service according to the present invention.
6 is a flowchart detailing the TCP connection establishment and normal user authentication steps.
Fig. 7A is a diagram showing the flow of data in TCP connection # 1.
FIG. 7B is a diagram showing the flow of data in TCP connection # 2. FIG.
FIG. 7C is a diagram showing the flow of data in TCP connection # 3. FIG.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 설명한다. 발명의 이해를 보다 명확하게 하기 위해 동일한 구성요소에 대해서는 상이한 도면에서도 동일한 부호를 사용하도록 한다. Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings. In order to more clearly understand the present invention, the same reference numerals are used for the same components in different drawings.
도 1은 본 발명에 따른 인터넷 서비스 보장 장치(100) 구성의 일 실시예를 개략적으로 나타낸 블록도이고, 도 2는 정상 사용자(220) 인증을 위한 데이터의 흐름을 도시한 도면이다. 1 is a block diagram schematically showing an embodiment of the configuration of the Internet
도 1 및 도 2를 참조하여 인터넷 서비스 보장 장치(100)를 설명하면, 인터넷 서비스 보장 장치(100)는 서비스 부하 측정부(110), SYN 쿠키 검증부(120), 반전 튜링 테스트 검증부(130), 서비스 제공부(140), 및 사용자 대기 관리부(150)를 포함한다. Referring to FIG. 1 and FIG. 2, the
서비스 부하 측정부(110)는 서버(300)로부터의 서비스 제공을 위한 트래픽이 정상 상태(서비스 정상 상태)인지, 폭주 상태(서비스 부하 상태)인지 여부를 측정하는데, 주기적으로 서버(300)에 서비스를 요청하고, 요청한 서비스에 대해 측정된 응답 시간을 미리 설정된 응답 시간과 비교하여, 서버(300)의 서비스 부하 여부를 측정할 수 있다(도 2의 ①).The service
이때, 미리 설정된 응답 시간은 관리자로부터 입력받아 기준으로 정해진 정상 서비스시의 정상 응답 시간 및 부하시의 부하 응답 시간을 의미한다. In this case, the preset response time refers to the normal response time during normal service and the load response time under load, which are inputted from an administrator.
서비스 부하 측정부(110)에서 서비스가 부하 상태라고 측정될 경우(도 2의 ②), Bot(210)에 의한 접속 시도를 제거하기 위하여, 접속 시도 중인 사용자(200)가 정상 사용자(220)임을 인증하는 정상 사용자 인증을 수행한다. When the service
정상 사용자 인증은 SYN 쿠키 검증부(120) 및 반전 튜링 테스트 검증부(130)를 통해 이루어질 수 있다. Normal user authentication may be performed through the SYN
SYN 쿠키 검증부(120)는 서버(300)를 대신하여 사용자(200)의 요청에 응답한다. The SYN
SYN 쿠키 검증부(120)는 사용자(200)로부터 사용자 단말을 통해 서버(300)에 접속을 요청하는 SYN 패킷을 수신하면(도 2의 ③), 수신한 SYN 패킷을 이용하여 사용자 IP 주소 및 포트 번호, 서버 IP 주소 및 포트 번호, 현재 시각을 암호화하고, 해시(hash)값을 계산하여 고유하게 생성된 ISN(TCP 초기 시퀀스 번호, TCP Initial Sequence Number)인 SYN 쿠키를 포함하는 SYN+ACK 패킷을 사용자(200)에게 전송한다. When the SYN
(본 발명의 실시예에서, 사용자(200)와 인터넷 서비스 보장 장치(100) 간의 데이터 송수신은 사용자 단말을 통해 이루어진다.)(In the embodiment of the present invention, data transmission and reception between the
SYN 쿠키 검증부(120)는 SYN+ACK 패킷을 수신한 사용자(200)로부터, SYN+ACK 패킷에 대응하는 ACK 패킷 및 서비스 요청 패킷을 수신하는데, 이때의 ACK 번호는 SYN 쿠키 검증부(120)가 전송한 ISN 번호(SYN 쿠키값)에 1을 더한 번호가 됨이 바람직하다(즉, 사용자(200)로부터의 ACK 번호 = ISN+1).The SYN
SYN 쿠키 검증부(120)는 사용자(200)로부터 수신한 ACK 패킷이, 자신이 사용자(200)에게 보낸 ISN+1과 일치하는지를 검증하여, 일치할 경우에 TCP 연결을 확립시킴으로써 SYN flood를 이용한 DoS 공격을 막을 수 있다. The SYN
또한, SYN 쿠키 검증부(120)는 TCP 연결이 확립되어 반전 튜링 테스트 검증부(130) 및 서비스 제공부(140)에서 사용자(200)에게 데이터를 전송할 경우, 데이터와 함께 TCP reset 패킷을 동시에 전달하여 해당 TCP 연결을 종료한다. 그 후, 다른 데이터의 전송은 새로운 TCP 연결이 확립된 후 전송되며, 이 경우에도 데이터 전송과 함께 TCP reset 패킷을 동시에 전달하여 해당 TCP 연결을 종료한다.In addition, when the SYN
반전 튜링 테스트 검증부(130)는 사용자(200)와의 TCP 연결이 확립되면, 사용자(200)로부터 반전 튜링 테스트에 대한 정상 응답이 수신될 경우(도 2의 ⑤), 해당 사용자(200)를 정상 사용자(220)로 인증하고(도 2의 ⑥), 정상 사용자(220)에게 인증 쿠키를 전송한다(도 2의 ⑦). When the TCP connection with the
본 발명의 실시예에서는 정상 사용자(220)와 Bot(210)을 구분하기 위한 반전 튜링 테스트(RTT, Reverse Turing Test)로써, 반전 튜링 테스트의 한 가지 종류인 캡차(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)를 이용하였지만, 반전 튜링 테스트의 다른 종류를 이용할 수도 있다. In the embodiment of the present invention as a reverse Turing Test (RTT) to distinguish between the
이때, 캡차는 어떠한 사용자가 실제 인간인지 컴퓨터 프로그램인지를 구별하기 위해 사용되는 방법으로, 도 3과 같이 인간은 구별할 수 있지만 컴퓨터는 구별하기 힘들게 의도적으로 비틀어 놓은 이미지를 주고 그 이미지에 쓰여 있는 내용을 물어보는 방법이다. At this time, the captcha is a method used to distinguish whether a user is a real human or a computer program, and as shown in FIG. How to ask.
도 3은 캡차의 일 실시예를 도시한 도면이며, 캡차에 대한 정상 캡차 응답은 "smwm"이 된다. 3 is a diagram illustrating one embodiment of a CAPTCHA, where the normal CAPTCHA response to CAPTCHA is "smwm".
반전 튜링 테스트 검증부(130)의 기능을 좀 더 자세히 살펴보면, 서비스를 요청한 사용자(200)가 TCP 연결 확립되면, 반전 튜링 테스트 검증부(130)는 사용자(200)에게 캡차를 전송한다(도 2의 ④). Looking at the function of the inverse Turing
그리고, 사용자(200)로부터 수신한 캡차 응답을 검증하여(도 2의 ⑤), 캡차 응답이 정확할 경우(정상 캡차 응답), 해당 사용자(200)를 정상 사용자(220)로 인증하고(도 2의 ⑥), 정상 사용자(220)에게 인증 쿠키(예컨대, 암호화된 HTTP 쿠키)를 전송한다(도 2의 ⑦). Then, the CAPTCHA response received from the
이처럼, 반전 튜링 테스트 검증부(130)에서 사용자(200)(또는 정상 사용자(220))에게 데이터(캡차 또는 인증 쿠키)가 전송될 때, 상술한 바와 같이, SYN 쿠키 검증부(120)에서 데이터와 함께 TCP reset 패킷을 동시에 전달하여 해당 TCP 연결을 종료한다. As such, when data (captcha or authentication cookie) is transmitted from the inverse Turing
즉, 캡차는 TCP 연결 #1을 통해 전송되고, 인증 쿠키는 TCP 연결 #2를 통해 전송된다. That is, CAPTCHA is sent over TCP connection # 1 and authentication cookie is sent over TCP connection # 2.
이러한 SYN 쿠키 검증부(120)의 비동기적인 연결 및 반전 튜링 테스트 검증부(130)의 정상 사용자 인증 방식으로 인해, Bot(210)이 정상 사용자(220)를 가장하여 서버(300)에 접속하는 것을 막을 수 있다. Due to the normal user authentication scheme of the asynchronous connection and inverse Turing
서비스 제공부(140)는 정상 사용자(200)로부터 인증 쿠키와 함께 서비스 요청 패킷을 수신하면(도 2의 ⑧), 정상 사용자(220)에 의한 서비스 부하 상태가 아닐 경우에 수신한 서비스 요청 패킷을 서버(300)로 전송하고, 서버(300)로부터 수신한 서비스를 정상 사용자(200)에게 제공한다(도 2의 ⑨ 내지 ⑫). When the
이 경우에도, 정상 사용자(220)에게 데이터(서비스)가 전송될 때, SYN 쿠키 검증부(120)에서 데이터와 함께 TCP reset 패킷을 동시에 전달하여 해당 TCP 연결을 종료하며, 서비스는 TCP 연결 #3을 통해 전송된다. Even in this case, when the data (service) is transmitted to the
도 4는 사용자 대기 관리를 위한 데이터 흐름을 도시한 도면이다. 4 is a diagram illustrating a data flow for user waiting management.
도 4를 참조하면, 사용자 대기 관리부(150)는 정상 사용자(220)로 인해 서버(300)가 서비스 부하 상태일 경우(도 4의 ②), 정상 사용자(220)의 서비스 요청 순서(접속 순서)에 따른 대기 우선순위를 설정하고, 정상 사용자(220)가 예상 대기 시간 이후에 서비스를 재요청할 경우, 대기 우선순위에 따라 서비스를 제공하도록 할 수 있다. Referring to FIG. 4, when the
사용자 대기 관리부(150)의 기능을 좀 더 자세히 살펴보면, 사용자 대기 관리부(150)는 서버(300)가 정상 사용자(220)로 인한 서비스 부하 상태에서(도 4의 ②), 정상 사용자(220)가 인증 쿠기와 함께 서비스 요청 패킷을 전송할 경우(도 4의 ③), 해당 정상 사용자(220)의 접속 시간별로 인증 쿠키를 접속 대기 목록에 삽입하여 대기 우선순위를 설정할 수 있다(도 4의 ④). Looking at the function of the user
사용자 대기 관리부(150)는 해당 정상 사용자(220)의 대기 우선순위가 설정되면, 선처리 대상자 수 및 예상 대기 시간을 계산한 대기 정보를 해당 정상 사용자에게 전송하여 대기 요청을 한다(도 4의 ⑤). When the standby priority of the corresponding
예상 대기 시간 이후에 해당 정상 사용자(220)가 사용자 대기 관리부(150)에 접속하여 인증 쿠키를 전송 및 서비스 요청 패킷을 재전송할 경우(도 4의 ⑥), 서버(300)가 서비스 부하 상태가 아니거나, 해당 정상 사용자(220)보다 대기 우선순위가 높은 정상 사용자(220)가 대기 목록에 없는 경우에 서비스를 제공한다(도 4의 ⑤ 내지 ⑦). After the expected waiting time, when the
이로 인해, 정상 사용자로 인한 트래픽 폭주시에도 인터넷 서비스의 마비를 초래하는 것이 아니라, 공정한 FCFS(First Come, First Serve) 형태의 서비스를 받을 수 있으며, 부적절한 접속 시도를 줄일 수 있게 된다. As a result, even when the traffic is overwhelmed by normal users, the Internet service is not paralyzed, but a fair first come, first serve (FCFS) type of service can be received, and inappropriate connection attempts can be reduced.
도 5는 본 발명에 따른 인터넷 서비스 보장 방법의 일 실시예를 개략적으로 나타낸 흐름도이다. 5 is a flowchart schematically illustrating an embodiment of a method for guaranteeing Internet service according to the present invention.
이하의 설명에서, 서버(300)가 인터넷 서버일 경우, 사용자(200)로부터의 서비스 제공은 URL 제공이 될 수 있으며, 서버(300)가 인터넷 서버 이외의 서버일 경우 제공하는 서비스는 서버에 대응하는 정보 제공이 될 수 있다. In the following description, when the
본 발명의 인터넷 서비스 보장 장치(100)는 주기적으로 서버(300)에 서비스를 요청하고, 요청한 서비스에 대해 측정된 응답 시간을 미리 설정된 응답 시간과 비교하여, 서버(300)의 서비스 부하 여부를 측정한다(S100).The
인터넷 서비스 보장 장치(100)는, 서비스가 부하 상태가 아닐 경우(정상 상태)에 사용자(200)로부터의 서버(300) 접속 요청 및 서비스 요청에 따라 사용자(200)와 연결하고, 서버(300)로 해당 서비스를 요청한 후, 서버(300)로부터 제공되는 서비스를 다시 해당 사용자(200)에게 제공하며 TCP 연결을 해제한다(S200).When the service is not in a load state (normal state), the Internet
인터넷 서비스 보장 장치(100)는, 서비스가 부하 상태일 경우에 사용자(200)와 TCP 연결의 확립 및 사용자(200)가 정상 사용자(220)인지 여부를 인증한다(S300). When the service is under load, the Internet
도 6은 TCP 연결 확립 및 정상 사용자 인증 단계(S300)를 상세히 나타낸 흐름도이고, 도 7의 (a) 내지 (c)는 각 TCP 연결 별 데이터의 흐름을 도시한 도면으로, 도 6 및 도 7을 참조하며 설명하고자 한다. FIG. 6 is a flowchart illustrating a TCP connection establishment and normal user authentication step S300 in detail, and FIGS. 7A to 7C illustrate the flow of data for each TCP connection. I will explain by reference.
인터넷 서비스 보장 장치(100)는 서비스가 부하 상태일 경우에 사용자(200)로부터 서버(300)에 접속을 요청하는 SYN 패킷을 TCP 연결 #1을 통해 수신하는데, SYN 패킷에는 사용자(200)의 ISN이 포함되어 있다(S310, 도 7-(a)-①).When the service is under load, the Internet
인터넷 서비스 보장 장치(100)는 수신한 SYN 패킷을 이용하여 사용자 IP 주소 및 포트 번호, 서버 IP 주소 및 포트 번호, 현재 시각을 암호화하고, 해시(hash)값을 계산하여 고유하게 생성된 ISN(TCP 초기 시퀀스 번호, TCP Initial Sequence Number)인 SYN 쿠키를 포함하는 SYN+ACK 패킷을 해당 사용자(200)에게 전송한다(S312, 도 7-(a)-②). The Internet
인터넷 서비스 보장 장치(100)는 사용자(200)로부터 전송된 SYN+ACK 패킷에 대응하는 ACK 패킷 및 서비스를 요청하는 HTTP GET을 수신하는데(S314, 도 7-(a)-③④), 이때의 ACK 번호는 인터넷 서비스 보장 장치(100)가 전송한 ISN 번호(SYN 쿠키값)에 1을 더한 번호가 됨이 바람직하다(즉, 사용자(200)로부터의 ACK 번호 = ISN+1).The Internet
인터넷 서비스 보장 장치(100)는 사용자(200)로부터 수신한 ACK 패킷이, 자신이 사용자(200)에게 보낸 ISN+1과 일치하는지를 검증하여(S316), 일치하지 않을 경우에는 TCP 연결을 중단하고(S318), 일치할 경우에 TCP 연결을 확립시킴으로써 SYN flood를 이용한 DoS 공격을 막을 수 있다(S320).The Internet
인터넷 서비스 보장 장치(100)는 TCP 연결이 확립된 사용자(200)가 정상 사용자(220)인지를 확인하는데(S330), 사용자(200)가 서비스를 요청(서비스 요청 패킷을 전송)과 함께 인증 쿠키를 전송할 경우에는 해당 사용자(200)를 정상 사용자(220)로 인식하여 단계 S400으로 진행하고, 사용자(200)가 인증 쿠키를 전송하지 않을 경우에는 해당 사용자(200)가 정상 사용자(220)로 인증되지 않았다고 판단하여, 해당 사용자(200)가 Bot(210)인지, 정상 사용자(220)인지를 확인한다. The Internet
해당 사용자(200)가 Bot(210)인지, 정상 사용자(220)인지를 확인하기 위해, 인터넷 서비스 보장 장치(100)는 사용자(200)로부터 캡차 응답이 수신되었는지를 확인하고(S340), 캡차 응답이 수신되지 않았다면, 사용자(200)에게 인터넷 서비스 보장 장치(100)의 SYN 쿠키+1을 포함하는 SYN+ACK 패킷, 서비스 요청이 성공적으로 수행되었다는 HTTP 200, 캡차를 전송하고, 동시에 TCP reset 패킷을 전송하여 TCP 연결 #1을 해제한 후, 다시 단계 S310으로 돌아간다. (S342, 도 7-(a)-⑤⑥). In order to check whether the
여전히, 서비스가 부하 상태일 경우에 인터넷 서비스 보장 장치(100)는 TCP 연결 #1을 통해 캡차를 수신한 사용자(200)로부터 서버(300)에 접속을 요청하는 SYN 패킷(사용자(200)의 ISN이 포함)을 새로운 TCP 연결 #2를 통해 수신한다(S310, 도 7-(b)-①).Still, when the service is under load, the Internet
인터넷 서비스 보장 장치(100)는 수신한 SYN 패킷을 이용하여 사용자 IP 주소 및 포트 번호, 서버 IP 주소 및 포트 번호, 현재 시각을 암호화하고, 해시(hash)값을 계산하여 고유하게 생성된 ISN(TCP 초기 시퀀스 번호, TCP Initial Sequence Number)인 SYN 쿠키를 포함하는 SYN+ACK 패킷을 해당 사용자(200)에게 전송한다(S312, 도 7-(b)-②). The Internet
인터넷 서비스 보장 장치(100)는 SYN+ACK 패킷을 전송한 사용자(200)로부터, 전송된 SYN+ACK 패킷에 대응하는 ACK 패킷을 수신한다(S314, 도 7-(b)-③).The Internet
인터넷 서비스 보장 장치(100)는 사용자(200)로부터 수신한 ACK 패킷이, 자신이 사용자(200)에게 보낸 ISN+1과 일치하는지를 검증하여(S316), 일치하지 않을 경우에는 TCP 연결을 중단하고(S318), 일치할 경우에 TCP 연결을 확립시킴으로써 SYN flood를 이용한 DoS 공격을 막을 수 있다(S320).The Internet
그리고, 동시에 인터넷 서비스 보장 장치(100)로부터의 캡차 요청이 성공적으로 수행되었다는 HTTP 200 패킷과 TCP 연결 #1을 통해 수신한 캡차에 대한 캡차 응답을 수신한다(도 7-(b)-④).At the same time, an
인터넷 서비스 보장 장치(100)는 TCP 연결이 확립된 사용자(200)가 정상 사용자(220)인지를 확인하는데(S330), 사용자(200)가 서비스를 요청하며 인증 쿠키를 전송할 경우에는 해당 사용자(200)를 정상 사용자(220)로 인식하여 단계 S400으로 진행하고, 사용자(200)가 인증 쿠키를 전송하지 않을 경우에는 해당 사용자(200)가 정상 사용자(220)로 인증되지 않았다고 판단하여, 해당 사용자(200)가 Bot(210)인지, 정상 사용자(220)인지를 확인한다. The Internet
해당 사용자(200)가 Bot(210)인지, 정상 사용자(220)인지를 확인하기 위해, 인터넷 서비스 보장 장치(100)는 사용자(200)로부터 캡차 응답이 수신되었는지를 확인한다(S340).In order to confirm whether the
상술한 바와 같이, 인터넷 서비스 보장 장치(100)는 TCP 연결 #2를 통해 해당 사용자(200)로부터 캡차 응답을 수신하였으므로, 수신한 캡차 응답이 정상 캡차 응답인지를 확인한다(S350).As described above, since the Internet
수신한 캡차 응답이 정상 캡차 응답이 아닐 경우(즉, 도 3의 캡차 이미지의 정상 캡차 응답인 'smwm'과는 다른 응답일 경우), 해당 사용자(200)를 Bot(210)으로 인식하여 TCP 연결을 해제한다(S352).If the received CAPTCHA response is not a normal CAPTCHA response (ie, a response different from 'smwm' which is a normal CAPTCHA response in the CAPTCHA image of FIG. 3), the
수신한 캡차 응답이 정상 캡차 응답일 경우에는 해당 사용자(200)를 정상 사용자(220)로 인증하여, 정상 사용자(220)에게 요청한 자원이 다른 주소로 이동되었음을 알리는 HTTP 301 패킷 및 인증 쿠키(예컨대, 암호화된 HTTP 쿠키)를 전송하고, 동시에 TCP reset 패킷을 전송하여 TCP 연결 #2를 해제한 후, 다시 단계 S310으로 돌아간다. (S354, 도 7-(b)-⑤⑥). If the received CAPTCHA response is a normal CAPTCHA response, the
여전히, 서비스가 부하 상태일 경우에 인터넷 서비스 보장 장치(100)는 TCP 연결 #2 통해 인증 쿠키를 수신한 사용자(200)로부터 서버(300)에 접속을 요청하는 SYN 패킷(사용자(200)의 ISN이 포함)을 새로운 TCP 연결 #3을 통해 수신한다(S310, 도 7-(c)-①).Still, when the service is under load, the Internet
인터넷 서비스 보장 장치(100)는 수신한 SYN 패킷을 이용하여 사용자 IP 주소 및 포트 번호, 서버 IP 주소 및 포트 번호, 현재 시각을 암호화하고, 해시(hash)값을 계산하여 고유하게 생성된 ISN(TCP 초기 시퀀스 번호, TCP Initial Sequence Number)인 SYN 쿠키를 포함하는 SYN+ACK 패킷을 해당 사용자(200)에게 전송한다(S312, 도 7-(c)-②). The Internet
인터넷 서비스 보장 장치(100)는 SYN+ACK 패킷을 전송한 사용자(200)로부터, 전송된 SYN+ACK 패킷에 대응하는 ACK 패킷을 수신한다(S314).The Internet
인터넷 서비스 보장 장치(100)는 사용자(200)로부터 수신한 ACK 패킷이, 자신이 사용자(200)에게 보낸 ISN+1과 일치하는지를 검증하여(S316), 일치하지 않을 경우에는 TCP 연결을 중단하고(S318), 일치할 경우에 TCP 연결을 확립시킴으로써 SYN flood를 이용한 DoS 공격을 막을 수 있다(S320).The Internet
그리고, 동시에 사용자(200)로부터, 서비스를 재요청하는 HTTP GET 패킷과 TCP 연결 #2를 통해 사용자(200)에게 전송되었던 인증 쿠키를 수신한다(도 7-(c)-③).At the same time, the
인터넷 서비스 보장 장치(100)는 TCP 연결이 확립된 사용자(200)가 정상 사용자(220)인지를 인증 쿠키 여부로서 확인하는데(S330), 상술한 바와 같이, 사용자(200)가 TCP 연결 #3을 통해 서비스를 요청하며 인증 쿠키를 전송하였으므로 해당 사용자(200)를 정상 사용자(220)로 인식한다. The Internet
이와 같은 TCP 연결 #1 내지 #3을 통해 인터넷 서비스 보장 장치(100)는 인증된 정상 사용자(220)에게만 서버(300)와 연결해주므로, Bot(210) 또는 인증되지 않은 사용자(200)로 인한 서비스 부하 상태를 해결할 수 있게 된다. Since the Internet
하지만, 이 경우에도 정상 사용자(220)로 인한 서비스 부하 상태가 발생할 수 있으므로, 인터넷 서비스 보장 장치(100)는 다시 한번 정상 사용자(220)로 인한 서비스 부하 상태인지 여부를 확인한다(S400).However, even in this case, since the service load state due to the
서비스 부하 상태가 아닐 경우에는 해당 정상 사용자(220)가 요청한 서비스를 서버(300)로 요청하고, 서버(300)로부터 제공받은 서비스를 해당 정상 사용자(220)에게 제공한 후, TCP 연결 #3을 해제한다(S200).If the service load is not in the service state, the
서비스 부하 상태일 경우 해당 정상 사용자(220)가 재접속(대기 우선순위가 설정되어 있음)하는 것이거나 처음 접속(대기 우선순위가 설정되지 않음)하는 것일 수도 있으므로, 대기 우선순위가 설정되어 있는지 여부를 확인한다(S500).If the
정상 사용자(220)로 인한 서비스 부하 상태일지라도, 재접속한 정상 사용자(220)보다 대기 우선순위가 높은 대기자가 존재하지 않을 경우에는 서버(300)로부터 서비스를 제공받아, 해당 정상 사용자(220)에게 제공한 후, TCP 연결 #3을 해제한다(S200).Even in a service load state caused by the
서비스 부하 상태일 경우 해당 정상 사용자(220)가 처음 접속하여 대기 우선순위가 설정되어 있지 않다면, 대기 우선순위를 설정한다(S600), If the
이때, 인터넷 서비스 보장 장치(100)는 해당 정상 사용자(220)의 접속 시간별로 인증 쿠키를 접속 대기 목록에 삽입하여 대기 우선순위를 설정할 수 있으며, 대기 우선순위가 설정되면, 선처리 대상자 수 및 예상 대기 시간을 계산한 대기 정보를 해당 정상 사용자에게 전송하여 대기 요청을 하고 종료한다(S610). In this case, the Internet
예상 대기 시간 이후에 대기 우선순위 설정된 정상 사용자(220)가 인증 쿠키로 인터넷 서비스 보장 장치(100) 재접속하고, 단계 S100 내지 S510을 거처, 서버(300)가 서비스 부하 상태가 아니거나, 해당 정상 사용자(220)보다 대기 우선순위가 높은 정상 사용자(220)가 대기 목록에 없는 경우에 인터넷 서비스 보장 장치(100)는 해당 정상 사용자(220)에게 서비스를 제공한 후, TCP 연결을 해제한다(S200).
After the expected waiting time, the
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
The invention can also be embodied as computer readable code on a computer readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. In addition, the computer-readable recording medium may be distributed over network-connected computer systems so that computer readable codes can be stored and executed in a distributed manner.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다. So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.
100 인터넷 서비스 보장 장치
110 서비스 부하 측정부
120 SYN 쿠키 검증부
130 반전 튜링테스트 검증부
140 서비스 제공부
150 사용자 대기 관리부
200 사용자
210 Bot
220 정상 사용자
300 서버100 Internet Service Guarantee
110 Service load measurement unit
120 SYN Cookie Verifier
130 Reverse Turing Test Verification Unit
140 Service Provider
150 User Waiting Management
200 users
210 Bot
220 normal users
300 servers
Claims (11)
상기 정상 사용자에 의해 서버의 서비스 부하 상태일 경우, 상기 인증 쿠키를 이용하여 상기 정상 사용자의 대기 우선순위를 설정하는 사용자 대기 관리부;
상기 정상 사용자가 서비스를 재요청할 경우, 상기 대기 우선순위에 따라 서비스를 제공하는 서비스 제공부; 및
주기적으로 상기 서버에 서비스를 요청하고, 요청한 서비스에 대해 측정된 응답 시간을 미리 설정된 응답 시간과 비교하여, 상기 서버의 서비스 부하 여부를 측정하는 서비스 부하 측정부; 를 포함하는 것을 특징으로 하는 인터넷 서비스 보장 장치. Inverted Turing test information is transmitted to a user who has established a TCP connection, and when a normal response to the Inverted Turing test information is received from the user, an inverted Turing test that transmits an authentication cookie for authenticating the user as a normal user. Verification unit;
A user standby manager configured to set a standby priority of the normal user by using the authentication cookie when the normal user is in a service load state of the server;
A service provider for providing a service according to the standby priority when the normal user re-requests a service; And
A service load measuring unit configured to periodically request a service from the server and compare the response time measured with respect to the requested service with a preset response time to determine whether the server has a service load; Internet service guarantee device comprising a.
상기 반전 튜링 테스트 검증부는,
상기 반전 튜링 테스트 정보로 캡차(CAPTCHA)를 이용하는 것을 특징으로 하는 인터넷 서비스 보장 장치.The method of claim 1,
The inverse Turing test verification unit,
And a captcha (CAPTCHA) as the inverse Turing test information.
초기 순서번호를 지정한 SYN 쿠키를 상기 사용자에게 전송하고, 상기 사용자 로부터의 응답과 '상기 초기 순서번호+1'이 일치할 경우 TCP 연결을 확립하는 SYN 쿠키 검증부; 를 더 포함하는 것을 특징으로 하는 인터넷 서비스 보장 장치.The method of claim 1,
A SYN cookie verification unit which transmits a SYN cookie specifying an initial sequence number to the user and establishes a TCP connection when the response from the user and the initial sequence number + 1 match; Internet service guarantee device further comprising.
상기 SYN 쿠키 검증부는,
상기 반전 튜링 테스트 검증부의 정상 사용자 단말 인증, 또는 상기 서비스 제공부의 서비스 제공을 비동기적으로 수행하도록 하는 것을 특징으로 하는 인터넷 서비스 보장 장치.The method of claim 3, wherein
The SYN cookie verification unit,
And asynchronously performing normal user terminal authentication of the inverse Turing test verification unit or providing a service of the service provider unit asynchronously.
(b) TCP 연결이 확립된 사용자에게 반전 튜링 테스트 정보를 전송하는 단계;
(c) 상기 사용자로부터 반전 튜링 테스트 정보에 대한 정상 응답이 수신될 경우, 상기 사용자를 정상 사용자로 인증하는 인증 쿠키를 상기 사용자에게 전송하는 단계;
(d) 상기 정상 사용자에 의해 서버의 서비스 부하 상태일 경우, 상기 인증 쿠키를 이용하여 상기 정상 사용자의 대기 우선순위를 설정하는 단계;
(e) 상기 정상 사용자가 서비스를 재요청할 경우, 상기 대기 우선순위에 따라 서비스를 제공하는 단계; 및
(f) 주기적으로 상기 서버에 서비스를 요청하고, 요청한 서비스에 대해 측정된 응답 시간을 미리 설정된 응답 시간과 비교하여, 상기 서버의 서비스 부하 여부를 측정하는 단계; 를 포함하는 것을 특징으로 하는 인터넷 서비스 보장 방법.Internet service guarantee device,
(b) sending inverse Turing test information to a user who has established a TCP connection;
(c) if a normal response to the reverse Turing test information is received from the user, transmitting an authentication cookie to the user authenticating the user as a normal user;
(d) setting a standby priority of the normal user using the authentication cookie when the normal user is under a service load of a server;
(e) if the normal user re-requests a service, providing a service according to the standby priority; And
(f) periodically requesting a service from the server, and comparing the response time measured for the requested service with a preset response time to determine whether the server has a service load; Internet service guarantee method comprising a.
상기 (b) 단계에서는,
상기 반전 튜링 테스트 정보로 캡차(CAPTCHA)를 이용하는 것을 특징으로 하는 인터넷 서비스 보장 방법.The method of claim 6,
In the step (b),
And captcha (CAPTCHA) as the inverse Turing test information.
상기 (b) 단계 이전에,
(a) 초기 순서번호를 지정한 SYN 쿠키를 상기 사용자에게 전송하고, 상기 사용자 로부터의 응답과 '상기 초기 순서번호+1'이 일치할 경우 TCP 연결을 확립하는 단계; 를 더 포함하는 것을 특징으로 하는 인터넷 서비스 보장 방법.The method of claim 6,
Before step (b),
(a) transmitting a SYN cookie specifying an initial sequence number to the user and establishing a TCP connection when the response from the user and the initial sequence number + 1 match; Internet service guarantee method comprising a further.
상기 (a) 단계는,
상기 (b) 단계와 상기 (c) 단계 사이, 또는 상기 (d) 단계와 상기 (e) 단계 사이에서 수행되는 것을 특징으로 하는 인터넷 서비스 보장 방법.The method of claim 8,
In step (a),
And (b) between the steps (b) and (c) or between the steps (d) and (e).
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100061277A KR101109563B1 (en) | 2010-06-28 | 2010-06-28 | Apparatus and method for guranteeing internet service |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100061277A KR101109563B1 (en) | 2010-06-28 | 2010-06-28 | Apparatus and method for guranteeing internet service |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20120000812A KR20120000812A (en) | 2012-01-04 |
KR101109563B1 true KR101109563B1 (en) | 2012-01-31 |
Family
ID=45608582
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100061277A KR101109563B1 (en) | 2010-06-28 | 2010-06-28 | Apparatus and method for guranteeing internet service |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101109563B1 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101369743B1 (en) * | 2012-06-25 | 2014-03-06 | 한국전자통신연구원 | Apparatus and method for verifying referer |
KR102232085B1 (en) * | 2014-10-10 | 2021-03-25 | 주식회사 케이티 | Method, web server and computing device for providing dynamic web page |
KR20220078320A (en) * | 2020-12-03 | 2022-06-10 | (주)모니터랩 | Intelligent bot detection method and device |
KR102427456B1 (en) * | 2021-10-27 | 2022-08-01 | 주식회사 파이오링크 | Method and device for providing service to certain user by referring to tracking information on the status of server |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100013989A (en) * | 2008-08-01 | 2010-02-10 | 한국정보보호진흥원 | Device and method for blocking spam based on turing test in voip service |
-
2010
- 2010-06-28 KR KR1020100061277A patent/KR101109563B1/en not_active IP Right Cessation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100013989A (en) * | 2008-08-01 | 2010-02-10 | 한국정보보호진흥원 | Device and method for blocking spam based on turing test in voip service |
Also Published As
Publication number | Publication date |
---|---|
KR20120000812A (en) | 2012-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
US9843590B1 (en) | Method and apparatus for causing a delay in processing requests for internet resources received from client devices | |
US10097520B2 (en) | Method and apparatus for causing delay in processing requests for internet resources received from client devices | |
TWI294726B (en) | ||
Shawahna et al. | EDoS-ADS: An enhanced mitigation technique against economic denial of sustainability (EDoS) attacks | |
US10567427B2 (en) | Unobtrusive and dynamic DDoS mitigation | |
US8468235B2 (en) | System for extranet security | |
US9118619B2 (en) | Prevention of cross site request forgery attacks by conditional use cookies | |
Tok et al. | Security analysis of SDN controller-based DHCP services and attack mitigation with DHCPguard | |
Abdallah et al. | TRUST-CAP: A trust model for cloud-based applications | |
Mohammadi et al. | SYN‐Guard: An effective counter for SYN flooding attack in software‐defined networking | |
KR101109563B1 (en) | Apparatus and method for guranteeing internet service | |
Hossain et al. | Survey of the Protection Mechanisms to the SSL-based Session Hijacking Attacks. | |
Al‐Hammouri et al. | ReCAP: a distributed CAPTCHA service at the edge of the network to handle server overload | |
US9680950B1 (en) | Method and apparatus for causing delay in processing requests for internet resources received from client devices | |
Amiri et al. | Theoretical and experimental methods for defending against DDoS attacks | |
CN115065564B (en) | Access control method based on zero trust mechanism | |
CN114221799B (en) | Communication monitoring method, device and system | |
Devi et al. | Cloud-based DDoS attack detection and defence system using statistical approach | |
Alosaimi et al. | Mitigation of distributed denial of service attacks in the cloud | |
Dou et al. | CLAS: A novel communications latency based authentication scheme | |
Singh Verma et al. | Hard-coded credentials and web service in iot: Issues and challenges | |
Eid et al. | Secure double-layered defense against HTTP-DDoS attacks | |
KR101132573B1 (en) | Defense system of automatic code attack that threaten web server and defense method thereof | |
Eid et al. | Trustworthy DDoS defense: design, proof of concept implementation and testing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |