KR101116745B1 - 비연결형 트래픽 차단 방법 - Google Patents
비연결형 트래픽 차단 방법 Download PDFInfo
- Publication number
- KR101116745B1 KR101116745B1 KR1020100123578A KR20100123578A KR101116745B1 KR 101116745 B1 KR101116745 B1 KR 101116745B1 KR 1020100123578 A KR1020100123578 A KR 1020100123578A KR 20100123578 A KR20100123578 A KR 20100123578A KR 101116745 B1 KR101116745 B1 KR 101116745B1
- Authority
- KR
- South Korea
- Prior art keywords
- connectionless
- traffic
- blocking
- udp
- datagram
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 비연결형 전달계층 패킷 차단 방법에 관한 것으로, 전달계층 패킷을 방화벽 등을 이용해 차단하던 방식은 하드웨어 장비 자체에 문제를 발생시킬 수 있고, 과도한 트래픽으로 네트워크 자체에 부담이 되었을 경우 네트워크 전체에 심각한 문제를 일으킬 수 있는데, 이러한 이유로 사용하기도 쉽지 않고 운영에도 어려움이 따르는 인패스(In-Path) 방식을 사용하지 않고 운영이 쉽고 안정적인 아웃오브패스(Out-of-Path) 방식의 차단 장비를 이용하여 경유지에서 비연결형 전달계층에 패킷을 분석하고, 차단 대상일 경우 접속자의 해당 패킷을 차단시키는 방식과 ICMP 응답 메시지를 이용해 호스트보다 먼저 클라이언트에게 응답하도록 하여 차단 대상 접속자를 원천적으로 차단하도록 하는 기술에 대한 것으로, 아웃오브패스 장비에서도 쉽고 안정적으로 비연결형 전달계층 프로토콜인 UDP(User Datagram Protocol) 패킷과 비연결형 IP 데이터그램 트래픽을 효과적으로 차단할 수 있는 차단 방법을 제공한다.
Description
본 발명은 비연결형 전달계층 패킷 차단 방법에 관한 것으로, 상세하게는 사용하기도 쉽지 않고 운영에도 어려움이 따르는 인패스(In-Path) 방식을 사용하지 않고 운영이 쉽고 안정적인 아웃오브패스(Out-of-Path) 방식의 차단 장비를 이용하여 경유지에서 비연결형 전달계층 패킷을 분석하고, 차단 대상일 경우 접속자의 해당 패킷을 차단시키는 방식과 ICMP(Internet Control Message Protocol) 응답 메시지를 이용해 호스트보다 먼저 클라이언트에게 응답하도록 하여 차단 대상 접속자를 원천적으로 차단하도록 하는 기술에 대한 것이다.
비연결형 전달계층 패킷을 방화벽 등을 이용하여 차단하던 종래의 방식 들은 하드웨어 장비 자체에 문제가 발생한다거나 과도한 트래픽의 증가로 인해 네트워크 자체에 부하가 가중되었을 경우 네트워크 전체에 심각한 문제를 일으킬 수 있었다.
또한, 비연결형 전달계층인 UDP(User Datagram Protocol) 트래픽 차단 시 아웃오브패스(Out-of-Path) 장비로는 원천적으로 차단할 수 없어 일반적으로 인패스(In-Path) 방식에 방화벽을 이용하여 차단 대상 클라이언트의 패킷을 Drop 시키는 방법이 많이 사용되었으나, 하드웨어적인 문제 발생이나 패킷 분석시 과도한 트래픽이 발생함으로 인해 방화벽 장비가 제대로 동작하지 않을 경우 네트워크 자체에 문제가 발생할 수 있었다.
이러한 장애로 인해 회선이 사용 불가능한 상황이 되면 사용자 불편으로 인한 고객 클레임이 발생할 수 있으며, 별도의 장비 복구에 대한 인력이나 장비 운용에 대한 어려움 등으로 인해 상당한 부담을 안고 있는 실정이다.
따라서, 상기의 문제들을 해결하기 위하여 실질적으로 운영 자체를 중단하지 않고 차단이 필요한 클라이언트에 대해 신속하고 효과적인 차단을 하는 것이 바람직하나, 아직까지 이를 모두 만족시킬 수 있는 방법은 제공되지 않고 있다.
따라서, 본 발명은 상기한 바와 같은 문제점을 해결하기 위한 것으로, 본 발명이 이루고자 하는 기술적 과제는, 아웃오브패스(Out-of-Path) 장비에서도 쉽고 안정적으로 비연결형 전달계층 프로토콜의 데이터와 패킷을 효과적으로 차단할 수 있는 방법을 제공하는 것이 그 목적이다.
상기 목적을 달성하기 위한 본 발명에 따른 비연결형 트래픽을 차단하는 방법은, 차단하고자하는 인터넷 사용자의 비연결형 트래픽을 모니터링하는 미러링 단계, 상기 모니터링된 트래픽을 이용하여 UDP 비연결형 트래픽에 대하여 UDP 응답 패킷을 전송함으로서, UDP 비연결형 트래픽을 차단하는 UDP 비연결형 트래픽 차단 단계, 상기 모니터링된 트래픽을 이용하여 비연결형 IP 데이터그램에 대하여 ICMP 응답 패킷을 전송함으로서, 비연결형 IP 데이터그램 트래픽을 차단하는 ICMP 응답 메시지를 이용한 비연결형 IP 데이터그램 트래픽 차단 단계를 포함하여 구성된 것을 특징으로 한다.
여기서, 상기 UDP 비연결형 트래픽 차단 단계는 비연결형 트래픽 차단하기 위해 인터넷 사용자가 전송하는 UDP 패킷에 대하여, IP 헤더의 출발지 IP(Source IP)와 목적지 IP(Destination IP)를 서로 바꾸고, UDP 헤더의 출발지 포트(Source Port)와 목적지 포트(Destination Port)를 서로 바꾸고, 전송하는 UDP의 데이터와 동일한 데이터를 응답 패킷의 UDP 데이터로 추가하여 응답 패킷을 생성하고, 이를 차단하고자 하는 인터넷 사용자에게 전송하는 것을 특징으로 한다.
또한, ICMP 응답 메시지를 이용한 비연결형 IP 데이터그램 트래픽 차단 단계는, 비연결형 IP 데이터그램 트래픽 차단하기 위해 인터넷 사용자가 전송하는 비연결형 IP 데이터그램에 대하여, IP 헤더의 출발지 IP(Source IP)와 목적지 IP(Destination IP)를 서로 바꾸고, IP 헤더의 프로토콜(Protocol) 정보를 ICMP 타입인 1로 하고, ICMP 헤더의 타입을 도착 불가 타입(Destination Unreachable Type)인 3으로 하고, ICMP의 데이터를 인터넷 사용자가 전송하는 비연결형 IP 데이터그램의 IP 헤더를 포함한 40 bytes를 추가하여 ICMP 응답패킷을 생성하고, 이를 차단하고자 하는 인터넷 사용자에게 전송하는 것을 특징으로 하는 비연결형 IP 데이터그램 트래픽 차단 방법이 제공된다.
기존의 방화벽을 이용한 비연결형 트래픽의 차단은 안정적인 운용에 어려움이 있어 차단 대상 클라이언트를 효과적으로 차단하는 것이 불가능하나, 본 발명에 따른 비연결형 트래픽 차단 방법을 이용하여 차단 대상 클라이언트를 효과적으로 차단이 가능하며, 연결형 전달계층과 비슷한 장비로 운용이 되기 때문에 추가적인 하드웨어 개발에 투자하는 비용을 절약할 수 있고, 운영 과정에서 소모되는 비용도 최소화할 수 있다.
또한, 아웃오브패스(Out-of-Path) 방식으로 해당 트래픽을 차단할 수 있기 때문에, 과도한 트래픽 발생시에도 시스템에 무리를 주지않고 안정적으로 차단하는 것이 가능하다.
도 1은 본 발명의 실시 예에 따른 개략적인 구성도로서, 아웃오브패스(Out-of-Path) 방식에 따른 트래픽 분석 시스템이 네트워크에 적용된 예를 나타낸다.
도 2는 본 발명에 있어서, UDP 방식의 비연결형 트래픽이 네트워크에 유입되었을 경우 차단 대상인지 확인하고, 전송자를 차단하는 과정의 단계를 나타내는 흐름도이다.
도 3은 본 발명에 있어서, 비연결형 IP 데이터그램이 네트워크에 유입되었을 경우, 차단 대상인지 확인하고, 전송자를 차단하는 과정의 단계를 나타내는 흐름도이다.
도 4는 UDP 비연결형 패킷을 수신지로 전송했을 때 수신지가 응답하기 전에 비연결형 차단 장치에서 UDP 차단 패킷을 전송하여 차단하는 과정을 나타내는 도면이다.
도 5는 IP 데이터그램 전송지에서 비연결형 IP 데이터그램을 수신지로 전송했을 때 수신지가 응답하기 전에 비연결형 차단 장치에서 ICMP 도착 불가 메시지 (Destination Unreachable Message)를 전송지에 보내 차단하는 과정을 나타내는 도면이다.
도 6은 차단 패킷 중 출발지 IP(Source IP)(61) 와 목적지 IP(Destination IP)(62)의 값을 독출하기 위한 IP 패킷의 IP 헤더의 구성을 나타내는 도면이다.
도 7은 UDP 비연결형 차단 패킷 생성 시 출발지 포트(Source Port)(71)와 목적지 포트(Destination Port)(72)의 값을 독출하기 위한 UDP 패킷의 UDP 헤더의 구성을 나타내는 도면이다.
도 8은 IP 데이터그램의 ICMP 헤더의 타입(81)을 도착 불가 타입(Destination Unreachable Type)인 3으로 변경하여 차단 패킷을 생성하기 위한 IP 데이터그램의 ICMP 헤더의 구성을 나타내는 도면이다.
도 2는 본 발명에 있어서, UDP 방식의 비연결형 트래픽이 네트워크에 유입되었을 경우 차단 대상인지 확인하고, 전송자를 차단하는 과정의 단계를 나타내는 흐름도이다.
도 3은 본 발명에 있어서, 비연결형 IP 데이터그램이 네트워크에 유입되었을 경우, 차단 대상인지 확인하고, 전송자를 차단하는 과정의 단계를 나타내는 흐름도이다.
도 4는 UDP 비연결형 패킷을 수신지로 전송했을 때 수신지가 응답하기 전에 비연결형 차단 장치에서 UDP 차단 패킷을 전송하여 차단하는 과정을 나타내는 도면이다.
도 5는 IP 데이터그램 전송지에서 비연결형 IP 데이터그램을 수신지로 전송했을 때 수신지가 응답하기 전에 비연결형 차단 장치에서 ICMP 도착 불가 메시지 (Destination Unreachable Message)를 전송지에 보내 차단하는 과정을 나타내는 도면이다.
도 6은 차단 패킷 중 출발지 IP(Source IP)(61) 와 목적지 IP(Destination IP)(62)의 값을 독출하기 위한 IP 패킷의 IP 헤더의 구성을 나타내는 도면이다.
도 7은 UDP 비연결형 차단 패킷 생성 시 출발지 포트(Source Port)(71)와 목적지 포트(Destination Port)(72)의 값을 독출하기 위한 UDP 패킷의 UDP 헤더의 구성을 나타내는 도면이다.
도 8은 IP 데이터그램의 ICMP 헤더의 타입(81)을 도착 불가 타입(Destination Unreachable Type)인 3으로 변경하여 차단 패킷을 생성하기 위한 IP 데이터그램의 ICMP 헤더의 구성을 나타내는 도면이다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 UDP 비연결형 트래픽 차단 방법과 ICMP 도착 불가 메시지(Destination Unreachable Message)를 이용한 비연결형 IP 데이터그램 트래픽 차단 방법을 구체적으로 설명한다.
이하에 설명하는 내용들은 본 발명을 실시하기 위한 하나의 실시 예일 뿐이며 본 발명은 이하에 설명하는 실시예의 경우로만 한정되는 것은 아니다.
도 1은 본 발명의 실시 예에 따른 네트워크 시스템의 개략적인 구성도로서, 아웃오브패스(Out-of-Path) 방식에 따른 비연결형 트래픽 분석 시스템이 네트워크에 적용된 예를 나타내고 있다.
도 1에 나타낸 바와 같이, 본 발명에 따른 비연결형 트래픽 차단 시스템은 비연결형 패킷을 실시간으로 미러링하여 트래픽 분석 장치를 통해 차단 대상자로 선정된 클라이언트를 차단하는 시스템으로, 인터넷 사용자에서 발생하는 트래픽을 차단 장치로 인입하기 위해 탭(Tap)이나 스위치 장비 등을 이용해 트래픽을 인입하고, 인입된 트래픽은 트래픽을 분석하기 위한 차단 장치로 전송된다.
도 1에서 차단 대상 가입자의 패킷의 흐름은 다음과 같다.
차단 대상 가입자는 비연결형 트래픽으로 네트워크에 접속을 하게 되면(단계 S11), 탭을 통해 미러링 된 패킷은 차단 장치로 전송 및 분석한 후(단계 S12), 차단하기 위한 응답 패킷을 차단 대상 가입자에게 송신하게 되고(단계 S13), 응답 패킷을 받은 차단 대상 가입자의 비연결형 트래픽은 차단되게 된다.
도 2는 UDP 비연결형 트래픽 유입시 차단하는 과정을 나타내는 흐름도로서, 본 발명에 있어서 UDP 방식의 비연결형 트래픽이 네트워크에 유입되었을 경우 차단 대상인지 확인하고, 전송자를 차단하는 과정을 나타낸 것이다.
도 2를 참조하여 UDP 비연결형 트래픽을 차단하는 과정에 대한 설명은 다음과 같다.
본 발명에 따른 비연결형 트래픽 차단 방법은 트래픽을 모니터링하여(단계 S21), 트래픽이 감지되었을 경우 UDP 비연결형 트래픽인지 확인하고(단계 S22), UDP 비연결형 트래픽의 송신지의 인터넷 사용자가 차단 대상에 포함되어 있는지의 여부를 확인하고(단계 S23), 이후, 차단 대상이라고 확인이 되면 전송받은 UDP 패킷의 분석을 시작하고(단계 S24), 차단 대상에게 차단을 위한 차단용 UDP 응답 패킷을 생성한다(단계 S25).
상기 단계(S25)에 있어서, 차단용 UDP 응답 패킷 생성 방법은 다음과 같다.
차단 대상자가 송신한 UDP 패킷의 IP 헤더에서 출발지 IP(Source IP)(61)와 목적지 IP(Destination IP)(62) 값을 서로 바꾸고, UDP 헤더의 출발지 포트(Source Port)(71)와 목적지 포트(Destination Port)(72) 값을 서로 바꾸고, 여기에 전송 패킷 데이터를 응답 패킷에 동일하게 추가해준다.
이렇게 만들어진 차단용 UDP 응답 패킷은 전송자에게 UDP 응답 패킷으로 전송해주고(단계 S26), 이 과정을 거친 차단 대상 UDP 비연결형 트래픽 전송자는 차단용 UDP 응답 패킷을 수신하고 UDP 비연결형 트래픽 전송자는 차단이 된다(단계 S27).
도 3은 본 발명에 있어서, 비연결형 IP 데이터그램 트래픽이 네트워크에 유입되었을 경우, 전송자가 차단 대상인지 확인하고 차단하는 단계를 대략적으로 나타내는 흐름도로서, 비연결형 IP 데이터그램으로 통신 연결시 차단하는 방법과 차단하는 과정을 나타내었다.
도 3을 참조하여 IP 데이터그램 트래픽을 차단하는 과정은 다음과 같다.
본 발명에 따른 IP 데이터그램 트래픽 차단 방법은 트래픽을 모니터링하여(단계 S31), 트래픽이 감지되었을 경우 비연결형 IP 데이터그램인지 확인하고(단계 S32), 비연결형 IP 데이터그램인지 확인이 되면, 비연결형 IP 데이터그램 트래픽의 송신지의 인터넷 사용자가 차단 대상에 포함되어 있는지 여부를 확인하게 된다(단계 S33).
이후, 차단 대상이라고 확인이 되면 전송받은 비연결형 IP 데이터그램의 분석을 시작하고(단계 S34), 차단 대상자에게 차단을 위한 차단용 ICMP 응답 메시지를 이용한 IP 데이터그램 응답 패킷을 생성한다.(단계 S35)
상기 단계(S35)의 차단용 IP 데이터그램 응답 패킷에 구조는 다음과 같다.
차단 대상자가 송신한 비연결형 IP 데이터그램의 IP 헤더의 출발지 IP(Source IP)(61)와 목적지 IP(Destination IP)(62)를 서로 바꾼다.
그리고 IP 헤더 중 프로토콜(Protocol)(63) 정보를 ICMP 타입인 '1'로 바꾸고, ICMP 헤더 중 타입(81) 값을 도착 불가 타입(Destination Unreachable Type)인 '3'으로 바꿔서 만든다.
추가로 ICMP 응답 메시지를 포함한 데이터를 송신자가 전송하는 비연결형 IP 데이터그램의 IP 헤더를 포함한 40 bytes를 추가하여 응답 패킷을 만든다.
이후 생성된 패킷을 차단 대상자에게 전송하고(단계 S36), 이 과정을 거친 차단 대상 비연결형 IP 데이터그램 전송자는 차단용 ICMP 도착 불가 메시지(Destination Unreachable Message)를 수신받고, 비연결형 IP 데이터그램 전송자는 차단되게 된다(단계 S37).
도 4는 UDP 패킷 전송지에서 UDP 비연결형 패킷을 수신지로 전송했을 때 수신지가 응답하기 전에 비 연결형 차단 장치에서 UDP 차단 패킷을 전송하여 차단하는 과정을 나타내는 도면이다.
도 4에 나타낸 바와 같이, UDP 비연결형 패킷이 차단되는 과정은 UDP 비연결형 패킷 전송지에서 수신지를 향해 패킷을 보내는 경우, 이 패킷은 비연결형 차단 장치에서 차단 대상이라고 판단되면, 상기 도 2에 나타낸 과정을 거친 차단 패킷을 비연결형 차단 장치를 통해 UDP 비연결형 패킷을 전송한 전송지로 차단 패킷을 보내서 차단을 한다.
도 5는 비연결형 IP 데이터그램 트래픽이 전송지에서부터 시작해 차단이 되는 과정을 보여주는 도면으로, IP 데이터그램 전송지에서 비연결형 IP 데이터그램을 수신지로 전송했을 때 수신지가 응답하기 전에 비연결형 차단 장치에서 ICMP 도착 불가 메시지 (Destination Unreachable Message)를 전송지에 보내 차단하는 과정을 나타내는 도면이다.
도 5를 참조하여 비연결형 IP 데이터그램 트래픽이 차단되는 과정은, IP 데이터그램 전송지 에서는 수신지를 향해 비연결형 IP 데이터그램을 보낼 때, 이 비연결형 IP 데이터그램 트래픽은 비연결형 차단 장치에서 차단 대상이라고 판단이 되면, 상기 도 3의 설명에서 나타낸 과정을 통해 ICMP 도착 불가 메시지(Destination Unreachable Message)를 비연결형 IP 데이터그램을 전송한 전송지로 보내서 차단하게 된다.
도 6은 IP 헤더의 구성을 나타내는 도면이며, 차단 패킷 중 출발지 IP(Source IP)(61), 목적지 IP(Destination IP)(62) 값을 독출하기 위한 IP 헤더를 나타내는 도면으로, UDP 비연결형 트래픽의 패킷과 IP 데이터그램에 모두 포함되어 있는 부분이다.
도 6에 나타낸 바와 같이, UDP 비연결형 트래픽 차단 시에는 차단 대상 송신지에서 보낸 패킷에 출발지 IP(Source IP)(61)와 목적지 IP(Destination IP)(62)를 독출하고 서로 위치를 변경하여 차단용 IP 헤더를 구성하게 되고,
비연결형 IP 데이터그램 트래픽을 차단 시에는 IP 데이터그램 차단용 메시지를 만들기 위해 출발지 IP(Source IP)(61)와 목적지 IP(Destination IP)(62)에 위치를 변경하고, 프로토콜(Protocol)(63)을 ICMP 타입인 '1'로 바꿔서 IP 헤더를 구성하게 된다.
도 7은 UDP 헤더의 구성을 나타내는 도면으로, UDP 비연결형 차단 패킷 생성 시 출발지 포트(Source Port)(71)와 목적지 포트(Destination Port)(72)의 값을 독출하기 위한 UDP 패킷의 헤더의 구성을 나타내었다.
도 7은 상기 도 2에 기재된 설명과 같이, UDP 비연결형 트래픽 패킷 차단을 위한 UDP 차단 패킷 생성시에 출발지 포트(Source Port)(71)와 목적지 포트(Destination Port)(72)의 위치를 서로 변경해서 UDP 비연결형 차단 패킷을 만들게 된다.
도 8은 ICMP 헤더의 구성을 나타내는 도면으로, ICMP 데이터그램의 타입(81)을 도착 불가 타입(Destination Unreachable Type)인 '3'으로 변경하여 차단 패킷을 생성하기 위한 ICMP 데이터그램의 ICMP 헤더의 구성을 나타내었다.
상기 도 8은 상기 도 3과 관련한 설명과 같이, ICMP 도착 불가 메시지(Destination Unreachable Message)를 이용해 차단해야하는 비연결형 IP 데이터그램의 타입(81)을 도착 불가 타입(Destination Unreachable Type)인 '3'으로 바꿔서 IP 데이터그램 차단 패킷을 만들게 된다.
이상, 본 발명을 실시하기 위한 바람직한 실시예에 대해 도면을 참조하여 설명하였다.
상기에서 설명한 바와 같이, 비연결형 전달계층을 이용하여 인터넷 사용자나 클라이언트를 차단하는 방법은 상술한 실시예로 한정되지 아니하며, 특허청구의 범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능할 것이다.
61. 출발지 IP(Source IP)
62. 목적지 IP(Destination IP)
63. 프로토콜(Protocol)
71. 출발지 포트(Source Port)
72. 목적지 포트(Destination Port)
81. ICMP 헤더의 타입
62. 목적지 IP(Destination IP)
63. 프로토콜(Protocol)
71. 출발지 포트(Source Port)
72. 목적지 포트(Destination Port)
81. ICMP 헤더의 타입
Claims (3)
- 비연결형 트래픽을 모니터링하고 응답 패킷을 전송하여 비연결형 트래픽을 차단하는 방법에 있어서,
차단하고자하는 인터넷 사용자의 비연결형 트래픽을 모니터링하는 미러링 단계,
상기 모니터링된 트래픽을 이용하여 UDP 비연결형 트래픽에 대하여 UDP 응답 패킷을 전송함으로서, UDP 비연결형 트래픽을 차단하는 UDP 비연결형 트래픽 차단 단계,
상기 모니터링된 트래픽을 이용하여 비연결형 IP 데이터그램 트래픽에 대하여 ICMP 응답 패킷을 전송함으로서, 비연결형 IP 데이터그램 트래픽을 차단하는 ICMP 응답 메시지를 이용한 비연결형 IP 데이터그램 차단 단계를 포함하는 것을 특징으로 하는 비연결형 트래픽 차단 방법. - 제 1항에 있어서,
상기 UDP 비연결형 트래픽 차단 단계는,
인터넷 사용자가 전송하는 UDP 비연결형 트래픽에 대하여,
IP 헤더의 출발지 IP(Source IP)(61)와 목적지 IP(Destination IP)(62)를 서로 바꾸고,
UDP 헤더의 출발지 포트(Source Port)(71)와 목적지 포트(Destination Port)(72)를 서로 바꾸고,
전송하는 UDP의 데이터와 동일한 데이터를 응답 패킷의 UDP 데이터로 추가하여 응답 패킷을 생성하고,
이를 차단하고자 하는 인터넷 사용자에게 전송하는 것을 특징으로 하는 비연결형 트래픽 차단 방법. - 제 1항에 있어서,
상기 비연결형 IP 데이터그램 트래픽 차단 단계는,
인터넷 사용자가 전송하는 비연결형 IP 데이터그램에 대하여,
IP 헤더의 출발지 IP(Source IP)(61)와 목적지 IP(Destination IP)(62)를 서로 바꾸고,
IP 헤더의 프로토콜(Protocol)(63) 정보를 ICMP Type인 1로 하고,
ICMP 헤더의 타입(81)을 도착 불가 타입(Destination Unreachable Type)인 3으로 하고,
비연결형 IP 데이터그램 트래픽을 인터넷 사용자가 전송하는 비연결형 IP 데이터그램의 IP 헤더를 포함한 40 bytes를 추가하여 ICMP 응답패킷을 생성하고,
이를 차단하고자 하는 인터넷 사용자에게 전송하는 것을 특징으로 하는 ICMP 응답 메시지를 이용한 비연결형 트래픽 차단 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100123578A KR101116745B1 (ko) | 2010-12-06 | 2010-12-06 | 비연결형 트래픽 차단 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100123578A KR101116745B1 (ko) | 2010-12-06 | 2010-12-06 | 비연결형 트래픽 차단 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101116745B1 true KR101116745B1 (ko) | 2012-02-22 |
Family
ID=45840512
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100123578A KR101116745B1 (ko) | 2010-12-06 | 2010-12-06 | 비연결형 트래픽 차단 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101116745B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10701178B2 (en) | 2016-10-31 | 2020-06-30 | Samsung Sds Co., Ltd. | Method and apparatus of web application server for blocking a client session based on a threshold number of service calls |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060017109A (ko) * | 2004-08-20 | 2006-02-23 | (주)한드림넷 | 네트워크 보호 장치 및 방법 |
| KR20060023372A (ko) * | 2004-09-09 | 2006-03-14 | 주식회사 케이티 | 기업용 이상 트래픽 감지 시스템 및 그 방법 |
| KR20070064427A (ko) * | 2004-09-13 | 2007-06-20 | 유티스타컴, 인코포레이티드 | 네트워크에서 데이터 패킷을 동적으로 필터링하기 위한방법 및 시스템 |
-
2010
- 2010-12-06 KR KR1020100123578A patent/KR101116745B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060017109A (ko) * | 2004-08-20 | 2006-02-23 | (주)한드림넷 | 네트워크 보호 장치 및 방법 |
| KR20060023372A (ko) * | 2004-09-09 | 2006-03-14 | 주식회사 케이티 | 기업용 이상 트래픽 감지 시스템 및 그 방법 |
| KR20070064427A (ko) * | 2004-09-13 | 2007-06-20 | 유티스타컴, 인코포레이티드 | 네트워크에서 데이터 패킷을 동적으로 필터링하기 위한방법 및 시스템 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10701178B2 (en) | 2016-10-31 | 2020-06-30 | Samsung Sds Co., Ltd. | Method and apparatus of web application server for blocking a client session based on a threshold number of service calls |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102577332B (zh) | 用于多向路径选择的系统、方法和计算机程序 | |
| US8320242B2 (en) | Active response communications network tap | |
| EP2461520B1 (en) | Service-centric communication network monitoring | |
| JP4405360B2 (ja) | ファイアウォールシステム及びファイアウォール制御方法 | |
| JP5436451B2 (ja) | 通信端末、通信方法、プログラム | |
| US10469530B2 (en) | Communications methods, systems and apparatus for protecting against denial of service attacks | |
| KR20070108825A (ko) | 보안 미디어 장치들 간의 스위칭 | |
| US10075564B1 (en) | Methods, systems, and computer program products for sharing information for detecting an idle TCP connection | |
| US8817820B2 (en) | System for controlling path maximum transmission unit by detecting repetitional IP packet fragmentation and method thereof | |
| CN101425942A (zh) | 一种实现双向转发检测的方法、装置及系统 | |
| KR20030056700A (ko) | Ip계층에서의 패킷 보안을 위한 인터넷 정보보호시스템의 제어 방법 | |
| US20220272025A1 (en) | Information Reporting Method, Information Processing Method, and Device | |
| CN102281165A (zh) | 一种基于服务质量的故障检测方法、系统和装置 | |
| US20150085670A1 (en) | Lte probe | |
| CN104426732A (zh) | 一种高速传输隧道的实现方法及系统 | |
| US20140317262A1 (en) | Method, Device and System for Detecting a Quality of Service Problem | |
| JP2008135858A (ja) | Ip電話機 | |
| WO2007076654A1 (fr) | Procede pour la detection de connexion d'appel dans un reseau ip de commutation par paquets | |
| KR101116745B1 (ko) | 비연결형 트래픽 차단 방법 | |
| US9660915B2 (en) | Congestion control for tunneled real-time communications | |
| KR20120139302A (ko) | 패킷전달방식을 이용한 VoIP 품질 측정 시스템 및 그 방법 | |
| JP2008131137A (ja) | 音声信号中継装置 | |
| US10263913B2 (en) | Tunnel consolidation for real-time communications | |
| EP3866429A1 (en) | Multipath capable network device and communication systems for centrally monitoring and controlling data traffic to and/or from a multipath capable customer equipment | |
| Cisco | Commands: debug ip pim atm through debug ip wccp packets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20141128 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20151211 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20161222 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20190102 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20200129 Year of fee payment: 9 |