KR101125817B1 - GTP-in-GTP 패킷 검출 장치 및 방법 - Google Patents

GTP-in-GTP 패킷 검출 장치 및 방법 Download PDF

Info

Publication number
KR101125817B1
KR101125817B1 KR1020110112296A KR20110112296A KR101125817B1 KR 101125817 B1 KR101125817 B1 KR 101125817B1 KR 1020110112296 A KR1020110112296 A KR 1020110112296A KR 20110112296 A KR20110112296 A KR 20110112296A KR 101125817 B1 KR101125817 B1 KR 101125817B1
Authority
KR
South Korea
Prior art keywords
gtp
packet
payload
value
bytes
Prior art date
Application number
KR1020110112296A
Other languages
English (en)
Inventor
강동완
오주형
김세권
조정식
임채태
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020110112296A priority Critical patent/KR101125817B1/ko
Application granted granted Critical
Publication of KR101125817B1 publication Critical patent/KR101125817B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

GTP-in-GTP 패킷 검출 장치 및 방법이 제공된다. GTP-in-GTP 패킷 검출 장치는 GTP 패킷으로부터 GTP-U 패킷을 분류하는 패킷 분류부, GTP-패킷으로부터 GTP-U 패킷의 페이로드를 추출하는 페이로드 추출부 및 페이로드의 바이트 값 및 페이로드의 길이에 기초하여 GTP-in-GTP 패킷을 검출하는 검출부를 포함한다.

Description

GTP-in-GTP 패킷 검출 장치 및 방법{APPARATUS AND METHOD FOR DETECTING GTP-in-GTP PACKETS}
본 발명은 GTP(GPRS Tunneling Protocol)-in-GTP(GTP-in-GTP) 패킷 검출 장치 및 방법에 관한 것으로서, GTP 패킷 내의 GTP-U 패킷의 패이로드에 기초하여 효율적으로 GTP-in-GTP 패킷을 검출할 수 있는 GTP-in-GTP 패킷 검출 장치 및 방법에 관한 것이다.
스마트폰 사용자의 급증, 다양한 모바일 서비스 증가에 따라 3G WCDMA망과 같은 이동 통신망이 폐쇄적 서비스 구조에서 개방형 서비스 구조로 변경되고 있다.
GTP는 이동 통신망 내부, 특히, 3G 모바일 인터넷 망 내부에서 사용되는 프로토콜로서, 패킷 교환 지원 노드(Serving GPRS Support Node; SGSN)와 패킷 관문 지원 노드(Gateway GPRS Support Node; GGSN) 사이에서 시그널링을 위한 GTP-C 패킷 및 데이터 전송을 위한 GTP-U 패킷으로 구성된다. GTP는 사용자 단말기(스마트폰 등)의 데이터 서비스를 위한 데이터 호 설정 등과 같은 시그널링 및 데이터 전달을 위해 고안되었으며, 이동 통신망 내부에서 사용될 목적으로 만들어졌다. 따라서, GTP는 사용자 인증, 위변조 트래픽 탐지 등을 전혀 고려하지 않고 만들어졌다.
따라서, 사용자 단말에서 GTP 패킷을 부정하게 전송할 경우 이동통신망 내부에서는 GTP-in-GTP 또는 GTP-over-GTP 형태의 비정상적인 패킷이 생성될 수 있다.
본 발명이 해결하고자 하는 과제는 이동 통신망에서 비정상 데이터 호 설정, 정상 데이터 호 설정 강제 종료, 과금 유발 공격 등을 유발할 수 있는 GTP-in-GTP 패킷을 검출할 수 있는 GTP-in-GTP 패킷 검출 장치 및 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 다른 과제는 GTP-U 패킷의 페이로드에 기초하여 효율적으로 GTP-in-GTP 패킷을 검출할 수 있는 GTP-in-GTP 패킷 검출 장치 및 방법을 제공하는 것이다.
본 발명의 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 장치는 GTP(GPRS Tunneling Protocol) 패킷으로부터 GTP-U 패킷을 분류하는 패킷 분류부, GTP-패킷으로부터 GTP-U 패킷의 페이로드를 추출하는 페이로드 추출부 및 페이로드의 바이트 값 및 페이로드의 길이에 기초하여 GTP-in-GTP 패킷을 검출하는 검출부를 포함한다.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 방법은 GTP(GPRS Tunneling Protocol) 패킷으로부터 GTP-U 패킷을 분류하고, GTP-패킷으로부터 GTP-U 패킷의 페이로드를 추출하고, 페이로드의 바이트 값 및 페이로드의 길이에 기초하여 GTP-in-GTP 패킷을 검출하는 것을 포함한다.
기타 실시예의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 실시예들에 의하면 적어도 다음과 같은 효과가 있다.
즉, 일반적인 경우 GTP-U 패킷 내에 GTP-C 패킷 또는 GTP-U 패킷이 존재하는 GTP-in-GTP 패킷은 발생할 수 없어, 이를 검출하기 위한 기술에 대한 고려가 전무하므로, GTP-in-GTP 패킷을 검출하기 위한 장치 및 방법을 제공할 수 있다.
또, GTP-in-GTP 패킷을 통해서 반복적인 비정상 데이터 호 설정을 유발할 경우, 이동 통신망의 IP 자원 고갈이 가능하고, 결국 모바일 인터넷 서비스 마비 등과 같은 치명적 결과를 초래할 수 있으므로, 이를 방지할 수 있는 GTP-in-GTP 패킷 검출 장치 및 방법을 제공할 수 있다.
본 발명에 따른 효과는 이상에서 예시된 내용에 의해 제한되지 않으며, 더욱 다양한 효과들이 본 명세서 내에 포함되어 있다.
도 1은 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 장치의 개략도이다.
도 2는 본 발명의 다른 실시예에 따른 GTP-in-GTP 패킷 검출 장치의 개략도이다.
도 3 및 도 4는 본 발명의 다양한 실시예들에 따른 GTP-in-GTP 패킷 검출 장치가 포함된 이동 통신 시스템에 대한 개략도이다.
도 5는 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 방법의 순서도이다.
도 6 내지 도 10은 본 발명의 다양한 실시예에 따른 GTP-in-GTP 패킷 검출 방법의 순서도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
비록 제1, 제2 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
이하, 첨부된 도면을 참고로 하여 본 발명의 실시예들에 대해 설명한다.
도 1은 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 장치의 개략도이다. 도 1을 참조하면, GTP-in-GTP 패킷 검출 장치(100)는 패킷 분류부(10), 페이로드(Payload) 추출부(20) 및 검출부(30)를 포함한다.
패킷 분류부(10)는 GTP 패킷으로부터 GTP-U 패킷을 분류할 수 있다.
GTP 패킷은 패킷 교환 지원 노드(Serving GPRS Support Node; SGSN)와 패킷 관문 지원 노드(Gateway GPRS Support Node; GGSN) 사이에서 시그널링을 위한 GTP-C 패킷 및 데이터 전송을 위한 GTP-U 패킷으로 구성된다. GTP ?C 패킷은 3G 모바일 인터넷 망 내부 SGSN과 GGSN 사이에서 데이터 호 설정, 삭제, 업데이트를 위해 사용되며, 사용자 단말기(스마트폰 등)이 데이터 서비스 요청이 있을 경우 SGSN과 GGSN 사이에서 발생한다. GTP-U 패킷은 3G 모바일 인터넷 망 내부 SGSN과 GGSN 사이에서 사용자 데이터 전송을 위해 사용된다.
GTP-in-GTP는 정상적으로 연결된 데이터 호 설정을 통해 데이터 호 설정 메시지를 전송하는 경우, 즉, GTP-U 패킷 내부에 GTP-C 패킷이 포함되어 전송되는 경우, GGSN에서 GTP-U 패킷 내부에 포함된 GTP-C 패킷을 정상적인 데이터 호 설정 요청으로 처리하게 되는 경우, 또는 GTP-U 패킷 내부에 다른 GTP-U 패킷이 포함되어 전송되는 경우를 의미한다. GTP-in-GTP는 GTP-over-GTP로도 표현될 수 있으나, 본 명세서에서는 설명의 편의를 위해 GTP-in-GTP로 용어를 통일하여 사용한다.
따라서, GTP-in-GTP 패킷을 검출하기 위해서는 GTP-U 패킷에 GTP-C 패킷 또는 GTP-U 패킷이 포함되었는지에 대해 판단하여야 하므로, 패킷 분류부(10)는 GTP 패킷에 포함된 GTP-U 패킷을 분류할 수 있다.
페이로드 추출부(20)는 GTP 패킷으로부터 분류된 GTP-U 패킷을 패킷 분류부(10)로부터 수신할 수 있고, 분류된 GTP-U 패킷으로부터 GTP-U 패킷의 페이로드를 추출할 수 있다. 몇몇 실시예에서는, 페이로드 추출부(20)는 GTP-U 패킷의 페이로드의 바이트(byte) 값을 추출하고, 페이로드의 길이를 추출할 수 있다.
검출부(30)는 추출된 GTP-U 패킷의 페이로드를 페이로드 추출부(20)로부터 수신할 수 있고, 추출된 GTP-U 패킷의 페이로드에 기초하여, GTP-in-GTP 패킷을 검출할 수 있다. 몇몇 실시예에서 검출부(30)는 GTP-U 패킷의 페이로드의 바이트 값 및 페이로드의 길이에 기초하여 GTP-in-GTP 패킷을 검출할 수 있다.
검출부(30)는 GTP-U 패킷의 페이로드의 상위 2바이트의 값을 제1 값에 기초하여 분석하고, GTP-U 패킷의 페이로드의 길이를 제2 값과 비교할 수 있고, 분석 및 비교 결과에 기초하여 GTP-in-GTP 패킷을 검출할 수 있다.
제1 값은 GTP 버전에 기초하여 설정될 수 있다. 상술한 바와 같이, GTP-in-GTP 패킷은 GTP-U 패킷 내부에 GTP-C 패킷 또는 다른 GTP-U 패킷이 포함되어 전송되는 패킷, 즉, 하나의 GTP 패킷 내에 다른 GTP 패킷이 포함되어 전송되는 패킷을 의미한다. 따라서, 포함될 수 있는 GTP 패킷의 버전에 따라 GTP-U 패킷의 페이로드의 상위 2바이트의 값이 변동될 수 있으므로, GTP-in-GTP 패킷을 검출하기 위해 사용되는 제1 값은 GTP 버전에 기초하여 설정될 수 있다.
몇몇 실시예에서 제1 값은 GTP 버전에 적어도 부분적으로 기초하여 설정될 수도 있다. 제1 값이 GTP 버전에 적어도 부분적으로 기초하여 설정된다는 것은 GTP 버전에 부분적으로 또는 전적으로 기초하여 제1 값을 설정한다는 것을 의미한다.
제2 값은 액세스 포인트 명칭(Access Point Name; APN) 필드에 기초하여 설정될 수 있다. GTP-C 패킷에는 액세스 포인트 명칭 필드가 포함될 수 있다. 액세스 포인트 명칭은 이동 통신 서비스를 제공하는 사업자에 따라 상이할 수 있고, 이에 따라 액세스 포인트 명칭 필드 또한 변경될 수 있다. 따라서, 액세스 포인트 명칭 필드에 따라 GTP-U 패킷의 페이로드의 길이가 변동될 수 있으므로, GTP-in-GTP 패킷을 검출하기 위해 사용되는 제2 값은 액세스 포인트 명칭 필드에 기초하여 설정될 수 있다.
몇몇 실시예에서 제2 값은 액세스 포인트 명칭 필드에 적어도 부분적으로 기초하여 설정될 수도 있다. 제2 값이 액세스 포인트 명칭 필드에 적어도 부분적으로 기초하여 설정된다는 것은 제2 값이 액세스 포인트 명칭 필드에 전적으로 기초하여 설정되거나, 제2 값이 액세스 포인트 명칭 필드와 기타 다른 필드에 기초하여 설정된다는 것을 의미한다.
검출부(30)는 GTP-U 패킷의 페이로드의 상위 2바이트가 0x3210(제1 값)인 경우, GTP-U 패킷의 페이로드의 상위 5번째 바이트부터 이후 4바이트를, GTP 버전에 적어도 부분적으로 기초하여 설정되는 제3 값에 기초하여 분석할 수 있다. GTP-U 패킷의 페이로드의 상위 5번째 바이트부터 이후 4바이트의 분석 결과, GTP-U 패킷의 페이로드의 상위 5번째 바이트부터 이후 4바이트가 모두 0x00(제3 값)이며, GTP-U 패킷의 페이로드의 길이(Length)가 170보다 크고 180보다 작을 경우(제2 값), 검출부(30)는 GTP 패킷을 GTP-in-GTP 패킷(PDP Create Req 판정)으로 검출할 수 있다.
또한, 검출부(30)는 GTP-U 패킷의 페이로드의 상위 2바이트가 0x3212(제1 값)이고, GTP-U 패킷의 페이로드의 길이가 80보다 크고 100보다 작을 경우(제2 값), GTP 패킷을 GTP-in-GTP 패킷(PDP Update Req 판정)으로 검출할 수 있다.
또한, 검출부(30)는 GTP-U 패킷의 페이로드의 상위 2바이트가 0x3214(제1 값)이고, GTP-U 패킷의 페이로드의 길이가 20보다 크고 25보다 작을 경우(제2 값), GTP 패킷을 GTP-in-GTP 패킷(PDP Delete Req 판정)으로 검출할 수 있다.
또한, 검출부(30)는 GTP-U 패킷의 페이로드의 상위 2바이트가 0x3201(제1 값)이고, GTP-U 패킷의 페이로드의 길이가 12일 경우(제2 값), GTP 패킷을 GTP-in-GTP 패킷(GTP Echo Req 판정)으로 검출할 수 있다.
또한, 검출부(30)는 GTP-U 패킷의 페이로드의 상위 2바이트가 0x32ff(제1 값)일 경우, GTP 패킷을 GTP-in-GTP 패킷(GTP-U 판정)으로 검출할 수 있다.
정상적으로 연결된 데이터 호 설정을 통해 데이터 호 설정 메시지를 전송하는 경우, 즉, GTP-U 패킷 내부에 GTP-C 패킷이 포함되어 전송되는 경우, 또는 GTP-U 패킷 내부에 다른 GTP-U 패킷이 포함되어 전송되는 경우인 GTP-in-GTP가 발생하는 경우, GGSN에서 GTP-U 패킷 내부에 포함된 GTP-C 패킷을 정상적인 데이터 호 설정 요청으로 처리할 수도 있다.
따라서, 사용자 전화번호 등이 조작된 거짓 GTP-C 패킷(데이터 호 설정 메시지)을 사용자 단말기를 통해 전송할 경우, 3G 모바일 인터넷 망에서 정상적인 데이터 호 연결 요청으로 처리하는 오류 또는 공격(비정성 데이터 호 설정)이 발생할 수 있고, 비정상 데이터 호 설정을 위한 GTP-in-GTP 패킷을 대량으로 전송할 경우, 3G WCDMA망에서 관리하는 IP 자원 고갈이 가능하다.
또한, 기 연결된 정상 데이터 호를 원격에서 강제 종료하는 공격으로, 정상 데이터 호를 연결한 사용자 단말의 가입자 식별번호(IMSI), 전화번호(MSISDN) 등이 동일한 GTP-C 패킷을 GTP-in-GTP를 통해 전송할 경우, 기존에 연결된 정상 데이터 호 연결이 강제 종료되는 현상(정상 데이터 호 설정 강제 종료)이 발생할 수 있다.
또한, 상술한 비정상 데이터 호 설정 및 정상 데이터 호 설정 강제 종료가 계속 이루어지는 경우 과금 유발 공격이 이루어질 수도 있다.
그러나, GTP는 사용자 단말기(스마트폰 등)의 데이터 서비스를 위한 데이터 호 설정 등과 같은 시그널링 및 데이터 전달을 위해 고안되었으며, 이동 통신망 내부에서 사용될 목적으로 만들어졌으므로, GTP는 사용자 인증, 위변조 트래픽 탐지 등을 전혀 고려하지 않고 만들어졌고, GTP-in-GTP 패킷을 검출하기 위한 기술에 대한 고려가 요구된다.
이에, 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 장치에서는 GTP-U 패킷의 페이로드를 분석하고, 그 분석에 기초하여 GTP-in-GTP 패킷을 검출하는 구성을 제공하여, GTP-in-GTP 패킷을 효율적으로 검출할 수 있는 장치를 제공할 수 있다. 또한, 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 장치에서는 GTP-in-GTP 패킷에 따른 공격이 발생하기 이전에 GTP-in-GTP 패킷을 사전에 검출함으로써, GTP-in-GTP 패킷을 통한 비정상 데이터 호 설정, 정상 데이터 호 설정 강제 종료 및 과금 유발 공격 등을 미리 방지할 수 있다.
도 2는 본 발명의 다른 실시예에 따른 GTP-in-GTP 패킷 검출 장치의 개략도이다. 도 2를 참조하면, GTP-in-GTP 패킷 검출 장치(200)는 패킷 분류부(10), 페이로드 추출부(20), 검출부(30), 수신부(50) 및 제어부(60)를 포함한다.
수신부(50)는 GTP 패킷을 Gn 인터페이스로부터 수신할 수 있다. 또한, 수신부(50)는 GTP 패킷을 패킷 관문 지원 노드로부터 수신할 수도 있다. 수신부(50)에 대한 보다 자세한 설명을 위해 도 3 및 도 4를 참조한다.
도 3 및 도 4는 본 발명의 다양한 실시예들에 따른 GTP-in-GTP 패킷 검출 장치(200)가 포함된 이동 통신 시스템에 대한 개략도이다. 이동 통신 시스템은 사용자 단말기(300), 무선 네트워크 제어부(RNC; 400), 패킷 교환 지원 노드(500) 및 패킷 관문 지원 노드(600)를 포함할 수 있고, 추가적으로 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 장치(200)를 포함할 수도 있다. 설명의 편의를 위해, 이동 통신 시스템을 간략하게 표현하였으나, 상술한 엘리먼트들을 제외한 다른 엘리먼트가 이동 통신 시스템에 포함될 수도 있고, 상술한 엘리먼트들 중 일부가 이동 통신 시스템에서 제외될 수도 있다.
도 3을 참조하면, 이동 통신 시스템은 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 장치(200)를 포함할 수도 있고, GTP-in-GTP 패킷 검출 장치(200)는 패킷 교환 지원 노드(500)와 패킷 관문 지원 노드(600) 사이의 Gn 인터페이스에 위치할 수도 있다. GTP-in-GTP 패킷 검출 장치(100)의 수신부(50)는 Gn 인터페이스로부터 GTP 패킷을 수신할 수 있다.
도 4를 참조하면, 이동 통신 시스템은 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 장치(200)를 포함할 수도 있고, GTP-in-GTP 패킷 검출 장치(200)는 패킷 관문 지원 노드(600)에 접속될 수도 있다. GTP-in-GTP 패킷 검출 장치(200)의 수신부(50)는 패킷 관문 지원 노드(600)로부터 GTP 패킷을 수신할 수 있다.
도 3 및 도 4에서는 설명의 편의를 위해 GTP-in-GTP 패킷 검출 장치(200)가 패킷 교환 지원 노드(500)와 패킷 관문 지원 노드(600) 사이의 Gn 인터페이스에 위치할 수 있고, 패킷 관문 지원 노드(600)에 접속되는 것을 예로 하여 설명하였으나, GTP-in-GTP 패킷 검출 장치(200)는 패킷 교환 지원 노드(500)에 접속될 수도 있다. 또한, 상술한 바와 같이, 이동 통신 시스템에는 상술한 엘리먼트들을 제외한 다른 엘리먼트가 포함될 수 있으므로, GTP-in-GTP 패킷 검출 장치(200)는 도 3 및 도 4에 도시되지 않았으나 GTP 패킷이 처리되는 다양한 장비에 연결되거나 접속되어 사용될 수 있고, GTP 패킷이 처리되는 다양한 장비 내부에 위치하여 GTP-in-GTP 패킷 검출 알고리즘이 장비 내부에서 구현되어 동작될 수도 있다.
다시 도 2를 참조하면, 수신부(50)는 상술한 바와 같이, GTP 패킷을 Gn 인터페이스로부터 수신할 수도 있고, GTP 패킷을 패킷 관문 지원 노드로부터 수신할 수도 있다. 몇몇 실시예에서는 GTP-in-GTP 패킷에 대한 보다 철저한 검출을 위해, 본 발명의 GTP-in-GTP 패킷 검출 장치(200)가 Gn 인터페이스 및 패킷 관문 지원 노드 모두로부터 GTP 패킷을 수신하고, 수신한 GTP 패킷 각각에 대해 GTP-in-GTP 패킷인지에 대한 검출 과정을 수행할 수도 있다.
패킷 분류부(10)는 수신부(50)로부터 GTP 패킷을 수신할 수 있고, 수신된 GTP 패킷으로부터 GTP-U 패킷을 분류할 수 있다. 패킷 분류부(10)가 GTP 패킷으로부터 GTP-U 패킷을 분류하는 것은, 도 1의 패킷 분류부(10)와 실질적으로 동일하므로 중복 설명을 생략한다.
페이로드 추출부(20)는 GTP 패킷으로부터 분류된 GTP-U 패킷을 패킷 분류부(10)로부터 수신할 수 있고, 분류된 GTP-U 패킷으로부터 GTP-U 패킷의 페이로드를 추출할 수 있다. 페이로드 추출부(20)는 도 1의 페이로드 추출부(20)와 실질적으로 동일하므로 중복 설명을 생략한다.
검출부(40)는 추출된 GTP-U 패킷의 페이로드를 페이로드 추출부(20)로부터 수신할 수 있고, 추출된 GTP-U 패킷의 페이로드에 기초하여, GTP-in-GTP 패킷을 검출할 수 있다. 몇몇 실시예에서 검출부(40)는 GTP-U 패킷의 페이로드의 바이트 값 및 페이로드의 길이에 기초하여 GTP-in-GTP 패킷을 검출할 수 있다.
도 2를 참조하면, 검출부(40)는 GTP-U 패킷의 페이로드의 상위 2바이트의 값을 제1 값에 기초하여 분석하는 분석부(41) 및 GTP-U 패킷의 페이로드의 길이를 제2 값과 비교하는 비교부(42)를 포함할 수 있다.
검출부(30)는 GTP-U 패킷의 페이로드의 상위 2바이트의 값을 제1 값에 기초하여 분석하고, GTP-U 패킷의 페이로드의 길이를 제2 값과 비교할 수 있고, 분석 및 비교 결과에 기초하여 GTP-in-GTP 패킷을 검출할 수 있다.
제1 값은 GTP 버전에 기초하여 설정될 수 있다. 상술한 바와 같이, GTP-in-GTP 패킷은 GTP-U 패킷 내부에 GTP-C 패킷 또는 GTP-U 패킷이 포함되어 전송되는 패킷, 즉, 하나의 GTP 패킷 내에 다른 GTP 패킷이 포함되어 전송되는 패킷을 의미한다. 따라서, 포함될 수 있는 GTP 패킷의 버전에 따라 GTP-U 패킷의 페이로드의 상위 2바이트의 값이 변동될 수 있으므로, GTP-in-GTP 패킷을 검출하기 위해 사용되는 제1 값은 GTP 버전에 기초하여 설정될 수 있다.
몇몇 실시예에서 제1 값은 GTP 버전에 적어도 부분적으로 기초하여 설정될 수도 있다. 제1 값이 GTP 버전에 적어도 부분적으로 기초하여 설정된다는 것은 GTP 버전에 부분적으로 또는 전적으로 기초하여 제1 값을 설정한다는 것을 의미한다.
제2 값은 액세스 포인트 명칭(Access Point Name; APN) 필드에 기초하여 설정될 수 있다. GTP-C 패킷에는 액세스 포인트 명칭 필드가 포함될 수 있다. 액세스 포인트 명칭은 이동 통신 서비스를 제공하는 사업자에 따라 상이할 수 있고, 이에 따라 액세스 포인트 명칭 필드 또한 변경될 수 있다. 따라서, 액세스 포인트 명칭 필드에 따라 GTP-U 패킷의 페이로드의 길이가 변동될 수 있으므로, GTP-in-GTP 패킷을 검출하기 위해 사용되는 제2 값은 액세스 포인트 명칭 필드에 기초하여 설정될 수 있다.
몇몇 실시예에서 제2 값은 액세스 포인트 명칭 필드에 적어도 부분적으로 기초하여 설정될 수도 있다. 제2 값이 액세스 포인트 명칭 필드에 적어도 부분적으로 기초하여 설정된다는 것은 제2 값이 액세스 포인트 명칭 필드에 전적으로 기초하여 설정되거나, 제2 값이 액세스 포인트 명칭 필드와 기타 다른 필드에 기초하여 설정된다는 것을 의미한다.
분석부(41)는 GTP-U 패킷의 페이로드의 상위 2바이트가 0x3210(제1 값)인 경우, GTP-U 패킷의 페이로드의 상위 5번째 바이트부터 이후 4바이트를, GTP 버전에 적어도 부분적으로 기초하여 설정되는 제3 값에 기초하여 분석할 수 있고, 비교부(42)는 GTP-U 패킷의 페이로드의 길이가 170보다 크고 180보다 작은지(제2 값)를 비교할 수 있다. 분석 및 비교 결과, GTP-U 패킷의 페이로드의 상위 5번째 바이트부터 이후 4바이트가 모두 0x00(제3 값)이며, GTP-U 패킷의 페이로드의 길이가 170보다 크고 180보다 작을 경우(제2 값), 검출부(30)는 GTP 패킷을 GTP-in-GTP 패킷(PDP Create Req 판정)으로 검출할 수 있다.
또한, 분석부(41)는 GTP-U 패킷의 페이로드의 상위 2바이트가 0x3212(제1 값)인지를 분석하고, 비교부(42)는 GTP-U 패킷의 페이로드의 길이가 80보다 크고 100보다 작은지(제2 값)를 비교할 수 있다. 분석 및 비교 결과, GTP-U 패킷의 페이로드의 상위 2바이트가 0x3212(제1 값)이고, GTP-U 패킷의 페이로드의 길이가 80보다 크고 100보다 작은 경우(제2 값), 검출부(30)는 GTP 패킷을 GTP-in-GTP 패킷(PDP Update Req 판정)으로 검출할 수 있다.
또한, 분석부(41)는 GTP-U 패킷의 페이로드의 상위 2바이트가 0x3214(제1 값)인지를 분석하고, 비교부(42)는 GTP-U 패킷의 페이로드의 길이가 20보다 크고 25보다 작은지(제2 값)를 비교할 수 있다. 분석 및 비교 결과, GTP-U 패킷의 페이로드의 상위 2바이트가 0x3214(제1 값)이고, GTP-U 패킷의 페이로드의 길이가 20보다 크고 25보다 작은 경우(제2 값), 검출부(30)는 GTP 패킷을 GTP-in-GTP 패킷(PDP Delete Req 판정)으로 검출할 수 있다.
또한, 분석부(41)는 GTP-U 패킷의 페이로드의 상위 2바이트가 0x3201(제1 값)인지를 분석하고, 비교부(42)는 GTP-U 패킷의 페이로드의 길이가 12인지(제2 값)를 비교할 수 있다. 분석 및 비교 결과, GTP-U 패킷의 페이로드의 상위 2바이트가 0x3201(제1 값)이고, GTP-U 패킷의 페이로드의 길이가 12인 경우(제2 값), 검출부(30)는 GTP 패킷을 GTP-in-GTP 패킷(GTP Echo Req 판정)으로 검출할 수 있다.
또한, 분석부(41)는 GTP-U 패킷의 페이로드의 상위 2바이트가 0x32ff(제1 값)인지를 분석하고, 분석 결과, GTP-U 패킷의 페이로드의 상위 2바이트가 0x32ff(제1 값)인 경우, 검출부(30)는 GTP 패킷을 GTP-in-GTP 패킷(GTP-U 판정)으로 검출할 수 있다.
제어부(60)는 검출부(40)가 GTP-in-GTP 패킷을 검출하는 경우, GTP-in-GTP 패킷을 제어할 수 있다. 몇몇 실시예에서, 제어부(60)는 GTP-in-GTP 패킷이 검출되는 경우, GTP-U 패킷 내의 GTP-C 패킷 또는 GTP-U 패킷을 제거할 수 있고, GTP 패킷의 재송신을 요청할 수도 있다.
본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 장치에서는 GTP-U 패킷의 페이로드를 분석하고, 그 분석에 기초하여 GTP-in-GTP 패킷을 검출하는 구성을 제공하여, GTP-in-GTP 패킷을 효율적으로 검출할 수 있는 장치를 제공할 수 있다. 또한, 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 장치에서는 GTP-in-GTP 패킷에 따른 공격이 발생하기 이전에 GTP-in-GTP 패킷을 사전에 검출함으로써, GTP-in-GTP 패킷을 통한 비정상 데이터 호 설정, 정상 데이터 호 설정 강제 종료 및 과금 유발 공격 등을 미리 방지할 수 있다.
도 5는 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 방법의 순서도이다. 도 6 내지 도 9는 본 발명의 다양한 실시예에 따른 GTP-in-GTP 패킷 검출 방법의 순서도이다.
먼저, GTP 패킷을 수신한다(S51). 몇몇 실시예에서, GTP 패킷은 Gn 인터페이스로부터 수신할 수 있고, 또는 패킷 관문 지원 노드로부터 수신할 수도 있다. GTP 패킷을 수신하는 것은 도 2 내지 도 4에서 설명한 GTP 패킷을 수신하는 것과 실질적으로 동일하므로 중복 설명을 생략한다.
이어서, GTP 패킷으로부터 GTP-U 패킷을 분류한다(S52). GTP-U 패킷을 분류하는 것은 Gn 인터페이스 또는 패킷 관문 지원 노드로부터 수신된 GTP 패킷으로부터 GTP-U 패킷을 분류하는 것을 포함할 수 있다. GTP 패킷으로부터 GTP-U 패킷을 분류하는 것은 도 1 및 도 2에서 설명한 GTP 패킷으로부터 GTP-U 패킷을 분류하는 것과 실질적으로 동일하므로 중복 설명을 생략한다.
이어서, GTP-U 패킷으로부터 GTP-U 패킷의 페이로드를 추출한다(S53). GTP-U 패킷의 페이로드를 추출하는 것은 GTP-U 페이로드의 바이트 값을 추출하고, GTP-U 페이로드의 길이를 추출하는 것을 포함할 수 있다. GTP-U 패킷으로부터 GTP-U 패킷의 페이로드를 추출하는 것은 도 1 및 도 2에서 설명한 GTP-U 패킷으로부터 GTP-U 패킷의 페이로드를 추출하는 것과 실질적으로 동일하므로 중복 설명을 생략한다.
이어서, 추출된 GTP-U 패킷의 페이로드의 바이트 값 및 페이로드의 길이에 기초하여 GTP-in-GTP 패킷을 검출한다(S54). GTP-in-GTP 패킷을 검출하는 것에 대해 보다 상세히 살펴보기 위해 도 6 내지 도 10을 참조한다.
도 6을 참조하면, GTP-in-GTP 패킷을 검출하는 것은 GTP-U 패킷의 페이로드의 상위 2바이트 값을 제1 값에 기초하여 분석하는 것(S61)을 포함할 수 있다. 제1 값은 상기 도 1 및 도 2 에서 설명한 제1 값과 동일하므로 중복 설명을 생략한다.
GTP-U 패킷의 페이로드의 상위 2바이트 값을 분석한 후, 상위 2바이트 값이 0x3210인지를 판단할 수 있다(S62). 상위 2바이트 값이 0x3210이 아니라면, GTP 패킷을 정상 패킷으로 검출할 수 있다(S63).
만약, 상위 2바이트 값이 0x3210이라면, GTP-U 패킷의 페이로드의 상위 5번째 바이트부터 이후 4바이트를 제3 값에 기초하여 분석할 수 있다(S64). 제3 값은 도 1 및 도 2에서 설명한 제3 값과 동일하므로 중복 설명을 생략한다. GTP-U 패킷의 페이로드의 상위 5번째 바이트부터 이후 4바이트를 분석한 후, 상위 5번째 바이트부터 이후 4바이트의 값이 모두 0x00인지를 판단할 수 있다(S65). 만약, 상위 5번째 바이트부터 이후 4바이트의 값이 모두 0x00이라면, GTP-U 패킷의 페이로드의 길이를 제2 값과 비교할 수 있고, 구체적으로는 170보다 크고 180보다 작은지를 판단할 수 있다(S66). 제2 값은 도 1 및 도 2에서 설명한 제2 값과 동일하므로 중복 설명을 생략한다. 만약, 페이로드의 길이가 170보다 크고 180보다 작다면, GTP 패킷을 GTP-in-GTP 패킷으로 검출(PDP Create Req 판정)할 수 있다(S67).
도 7을 참조하면, GTP-in-GTP 패킷을 검출하는 것은 GTP-U 패킷의 페이로드의 상위 2바이트 값을 분석하는 것(S71)을 포함할 수 있다. GTP-U 패킷의 페이로드의 상위 2바이트 값을 분석한 후, 상위 2바이트 값이 0x3212인지를 판단할 수 있다(S72). 상위 2바이트 값이 0x3212가 아니라면, GTP 패킷을 정상 패킷으로 검출할 수 있다(S73).
만약, 상위 2바이트 값이 0x3212라면, GTP-U 패킷의 페이로드의 길이가 80보다 크고 100보다 작은지를 판단할 수 있다(S74). 만약, 페이로드의 길이가 80보다 크고 100보다 작다면, GTP 패킷을 GTP-in-GTP 패킷으로 검출(PDP Update Req 판정)할 수 있다(S75).
도 8을 참조하면, GTP-in-GTP 패킷을 검출하는 것은 GTP-U 패킷의 페이로드의 상위 2바이트 값을 분석하는 것(S81)을 포함할 수 있다. GTP-U 패킷의 페이로드의 상위 2바이트 값을 분석한 후, 상위 2바이트 값이 0x3214인지를 판단할 수 있다(S82). 상위 2바이트 값이 0x3214가 아니라면, GTP 패킷을 정상 패킷으로 검출할 수 있다(S83).
만약, 상위 2바이트 값이 0x3214라면, GTP-U 패킷의 페이로드의 길이가 20보다 크고 25보다 작은지를 판단할 수 있다(S84). 만약, 페이로드의 길이가 20보다 크고 25보다 작다면, GTP 패킷을 GTP-in-GTP 패킷으로 검출(PDP Delete Req 판정)할 수 있다(S85).
도 9를 참조하면, GTP-in-GTP 패킷을 검출하는 것은 GTP-U 패킷의 페이로드의 상위 2바이트 값을 분석하는 것(S91)을 포함할 수 있다. GTP-U 패킷의 페이로드의 상위 2바이트 값을 분석한 후, 상위 2바이트 값이 0x3201인지를 판단할 수 있다(S92). 상위 2바이트 값이 0x3201이 아니라면, GTP 패킷을 정상 패킷으로 검출할 수 있다(S93).
만약, 상위 2바이트 값이 0x3201이라면, GTP-U 패킷의 페이로드의 길이가 12인지를 판단할 수 있다(S94). 만약, 페이로드의 길이가 12라면, GTP 패킷을 GTP-in-GTP 패킷으로 검출(GTP Echo Req 판정)할 수 있다(S95).
도 10을 참조하면, GTP-in-GTP 패킷을 검출하는 것은 GTP-U 패킷의 페이로드의 상위 2바이트 값을 분석하는 것(S101)을 포함할 수 있다. GTP-U 패킷의 페이로드의 상위 2바이트 값을 분석한 후, 상위 2바이트 값이 0x32ff인지를 판단할 수 있다(S102). 상위 2바이트 값이 0x32ff가 아니라면, GTP 패킷을 정상 패킷으로 검출할 수 있다(S103).
만약, 상위 2바이트 값이 0x32ff라면, GTP 패킷을 GTP-in-GTP 패킷으로 검출(GTP-U 판정)할 수 있다(S104).
설명의 편의를 위해, GTP 패킷을 GTP-in-GTP 패킷으로 검출하는 각각의 알고리즘에 대해 도 6 내지 도 10으로 분할하여 설명하였으나, 도 6 내지 도 10과 관련하여 설명된 검출 알고리즘은 동시에 병렬적으로 수행될 수도 있고, 각각의 알고리즘이 순차적으로 수행될 수도 있음은 자명하다.
이어서, GTP-in-GTP 패킷을 검출하는 경우, GTP 패킷을 제어할 수 있다(S55). 몇몇 실시예에서, GTP 패킷을 제어하는 것은, GTP-U 패킷 내의 GTP-C 패킷 또는 GTP-U 패킷을 제거하는 것을 포함할 수 있고, 또는, GTP 패킷의 재송신을 요청하는 것을 포함할 수도 있다.
정상적으로 연결된 데이터 호 설정을 통해 데이터 호 설정 메시지를 전송하는 경우, 즉, GTP-U 패킷 내부에 GTP-C 패킷이 포함되어 전송되는 경우인 GTP-in-GTP가 발생하는 경우, GGSN에서 GTP-U 패킷 내부에 포함된 GTP-C 패킷을 정상적인 데이터 호 설정 요청으로 처리할 수도 있다.
따라서, 사용자 전화번호 등이 조작된 거짓 GTP-C 패킷(데이터 호 설정 메시지)을 사용자 단말기를 통해 전송할 경우, 3G 모바일 인터넷 망에서 정상적인 데이터 호 연결 요청으로 처리하는 오류 또는 공격(비정성 데이터 호 설정)이 발생할 수 있고, 비정상 데이터 호 설정을 위한 GTP over GTP 패킷을 대량으로 전송할 경우, 3G WCDMA망에서 관리하는 IP 자원 고갈이 가능하다.
또한, 기 연결된 정상 데이터 호를 원격에서 강제 종료하는 공격으로, 정상 데이터 호를 연결한 사용자 단말의 가입자 식별번호(IMSI), 전화번호(MSISDN) 등이 동일한 GTP-C 패킷을 GTP-in-GTP를 통해 전송할 경우, 기존에 연결된 정상 데이터 호 연결이 강제 종료되는 현상(정상 데이터 호 설정 강제 종료)이 발생할 수 있다.
또한, 상술한 비정상 데이터 호 설정 및 정상 데이터 호 설정 강제 종료가 계속 이루어지는 경우 과금 유발 공격이 이루어질 수도 있다.
그러나, GTP는 사용자 단말기(스마트폰 등)의 데이터 서비스를 위한 데이터 호 설정 등과 같은 시그널링 및 데이터 전달을 위해 고안되었으며, 이동 통신망 내부에서 사용될 목적으로 만들어졌으므로, GTP는 사용자 인증, 위변조 트래픽 탐지 등을 전혀 고려하지 않고 만들어졌고, GTP-in-GTP 패킷을 검출하기 위한 기술에 대한 고려가 요구된다.
이에, 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 방법에서는 GTP-U 패킷의 페이로드를 분석하고, 그 분석에 기초하여 GTP-in-GTP 패킷을 검출하는 구성을 제공하여, GTP-in-GTP 패킷을 효율적으로 검출할 수 있는 방법을 제공할 수 있다. 또한, 본 발명의 일 실시예에 따른 GTP-in-GTP 패킷 검출 방법에서는 GTP-in-GTP 패킷에 따른 공격이 발생하기 이전에 GTP-in-GTP 패킷을 사전에 검출함으로써, GTP-in-GTP 패킷을 통한 비정상 데이터 호 설정, 정상 데이터 호 설정 강제 종료 및 과금 유발 공격 등을 미리 방지할 수 있다.
본 명세서에 개시된 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는 프로세서에 의해 실행되는 하드웨어, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수도 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 당업계에 알려진 임의의 다른 형태의 저장 매체에 상주할 수도 있다. 예시적인 저장 매체는 프로세서에 커플링되며, 그 프로세서는 저장 매체로부터 정보를 판독할 수 있고 저장 매체에 정보를 기입할 수 있다. 다른 방법으로, 저장 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 저장 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 저장 매체는 사용자 단말기 내에 개별 컴포넌트로서 상주할 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
10: 패킷 분류부
20: 페이로드 추출부
30, 40: 검출부
41: 분석부
42: 비교부
50: 수신부
60: 제어부
100, 200: GTP-in-GTP 패킷 검출 장치
300: 사용자 단말기
400: 무선 네트워크 제어부
500: 패킷 교환 지원 노드(SGSN)
600: 패킷 관문 지원 노드(GGSN)

Claims (23)

  1. GTP(GPRS Tunneling Protocol) 패킷으로부터 GTP-U 패킷을 분류하는 패킷 분류부;
    상기 GTP-U 패킷으로부터 상기 GTP-U 패킷의 페이로드를 추출하는 페이로드 추출부; 및
    상기 페이로드의 바이트 값 및 상기 페이로드의 길이에 기초하여 GTP-in-GTP 패킷을 검출하는 검출부를 포함하되,
    상기 페이로드 추출부는 상기 페이로드의 바이트 값을 추출하고, 상기 페이로드의 길이를 추출하는 GTP-in-GTP 패킷 검출 장치.
  2. 제1항에 있어서,
    상기 검출부가 상기 GTP-in-GTP 패킷을 검출하는 경우, 상기 GTP-in-GTP 패킷을 제어하는 제어부를 더 포함하는 GTP-in-GTP 패킷 검출 장치.
  3. 삭제
  4. 제1항에 있어서,
    상기 검출부는,
    상기 페이로드의 상위 2바이트의 값을 제1 값에 기초하여 분석하는 분석부; 및
    상기 페이로드의 길이를 제2 값과 비교하는 비교부를 포함하되,
    상기 제1 값은 GTP 버전에 적어도 부분적으로 기초하여 설정되고,
    상기 제2 값은 액세스 포인트 명칭 필드에 적어도 부분적으로 기초하여 설정되는 GTP-in-GTP 패킷 검출 장치.
  5. 제4항에 있어서,
    상기 분석부는 상기 페이로드의 상위 5번째 바이트부터 이후 4바이트를, 상기 GTP 버전에 적어도 부분적으로 기초하여 설정되는 제3 값에 기초하여 더 분석하고,
    상기 검출부는 상기 페이로드의 상위 2바이트가 0x3210이고, 상기 페이로드의 상위 5번째 바이트부터 이후 4바이트가 모두 0x00이며, 상기 페이로드의 길이가 170보다 크고 180보다 작을 경우, 상기 GTP 패킷을 상기 GTP-in-GTP 패킷으로 검출하는 GTP-in-GTP 패킷 검출 장치.
  6. 제4항에 있어서,
    상기 검출부는 상기 페이로드의 상위 2바이트가 0x3212이고, 상기 페이로드의 길이가 80보다 크고 100보다 작을 경우, 상기 GTP 패킷을 상기 GTP-in-GTP 패킷으로 검출하는 GTP-in-GTP 패킷 검출 장치.
  7. 제4항에 있어서,
    상기 검출부는 상기 페이로드의 상위 2바이트가 0x3214이고, 상기 페이로드의 길이가 20보다 크고 25보다 작을 경우, 상기 GTP 패킷을 상기 GTP-in-GTP 패킷으로 검출하는 GTP-in-GTP 패킷 검출 장치.
  8. 제4항에 있어서,
    상기 검출부는 상기 페이로드의 상위 2바이트가 0x3201이고, 상기 페이로드의 길이가 12일 경우, 상기 GTP 패킷을 상기 GTP-in-GTP 패킷으로 검출하는 GTP-in-GTP 패킷 검출 장치.
  9. 제4항에 있어서,
    상기 검출부는 상기 페이로드의 상위 2바이트가 0x32ff 일 경우, 상기 GTP 패킷을 상기 GTP-in-GTP 패킷으로 검출하는 GTP-in-GTP 패킷 검출 장치.
  10. 제1항에 있어서,
    상기 GTP 패킷을 Gn 인터페이스로부터 수신하는 수신부를 더 포함하고,
    상기 패킷 분류부는 상기 수신된 GTP 패킷으로부터 상기 GTP-U 패킷을 분류하는 GTP-in-GTP 패킷 검출 장치.
  11. 제1항에 있어서,
    상기 GTP 패킷을 패킷 관문 지원 노드(GGSN)로부터 수신하는 수신부를 더 포함하고,
    상기 패킷 분류부는 상기 수신된 GTP 패킷으로부터 상기 GTP-U 패킷을 분류하는 GTP-in-GTP 패킷 검출 장치.
  12. GTP(GPRS Tunneling Protocol) 패킷으로부터 GTP-U 패킷을 분류하고,
    상기 GTP-U 패킷으로부터 상기 GTP-U 패킷의 페이로드를 추출하고,
    상기 페이로드의 바이트 값 및 상기 페이로드의 길이에 기초하여 GTP-in-GTP 패킷을 검출하는 것을 포함하되,
    상기 페이로드를 추출하는 것은 상기 페이로드의 바이트 값을 추출하고, 상기 페이로드의 길이를 추출하는 것을 포함하는 GTP-in-GTP 패킷 검출 방법.
  13. 제12항에 있어서,
    GTP-in-GTP 패킷이 검출되는 경우, 상기 GTP-in-GTP 패킷을 제어하는 것을 더 포함하는 GTP-in-GTP 패킷 검출 방법.
  14. 삭제
  15. 제12항에 있어서,
    상기 검출하는 것은,
    상기 페이로드의 상위 2바이트의 값을 제1 값에 기초하여 분석하고,
    상기 페이로드의 길이를 제2 값과 비교하는 것을 포함하되,
    상기 제1 값은 GTP 버전에 적어도 부분적으로 기초하여 설정되고,
    상기 제2 값은 액세스 포인트 명칭 필드에 적어도 부분적으로 기초하여 설정되는 GTP-in-GTP 패킷 검출 방법.
  16. 제15항에 있어서,
    상기 분석하는 것은 상기 페이로드의 상위 5번째 바이트부터 이후 4바이트를, 상기 GTP 버전에 적어도 부분적으로 기초하여 설정되는 제3 값에 기초하여 분석하는 것을 포함하고,
    상기 검출하는 것은 상기 페이로드의 상위 2바이트가 0x3210이고, 상기 페이로드의 상위 5번째 바이트부터 이후 4바이트가 모두 0x00이며, 상기 페이로드의 길이가 170보다 크고 180보다 작을 경우, 상기 GTP 패킷을 상기 GTP-in-GTP 패킷으로 검출하는 것을 포함하는 GTP-in-GTP 패킷 검출 방법.
  17. 제15항에 있어서,
    상기 검출하는 것은 상기 페이로드의 상위 2바이트가 0x3212이고, 상기 페이로드의 길이가 80보다 크고 100보다 작을 경우, 상기 GTP 패킷을 상기 GTP-in-GTP 패킷으로 검출하는 것을 포함하는 GTP-in-GTP 패킷 검출 방법.
  18. 제15항에 있어서,
    상기 검출하는 것은 상기 페이로드의 상위 2바이트가 0x3214이고, 상기 페이로드의 길이가 20보다 크고 25보다 작을 경우, 상기 GTP 패킷을 상기 GTP-in-GTP 패킷으로 검출하는 것을 포함하는 GTP-in-GTP 패킷 검출 방법.
  19. 제15항에 있어서,
    상기 검출하는 것은 상기 페이로드의 상위 2바이트가 0x3201이고, 상기 페이로드의 길이가 12일 경우, 상기 GTP 패킷을 상기 GTP-in-GTP 패킷으로 검출하는 것을 포함하는 GTP-in-GTP 패킷 검출 방법.
  20. 제15항에 있어서,
    상기 검출하는 것은 상기 페이로드의 상위 2바이트가 0x32ff일 경우, 상기 GTP 패킷을 상기 GTP-in-GTP 패킷으로 검출하는 것을 포함하는 GTP-in-GTP 패킷 검출 방법.
  21. 제12항에 있어서,
    상기 GTP 패킷을 Gn 인터페이스로부터 수신하는 것을 더 포함하고,
    상기 분류하는 것은 상기 수신된 GTP 패킷으로부터 상기 GTP-U 패킷을 분류하는 것을 포함하는 GTP-in-GTP 패킷 검출 방법.
  22. 제12항에 있어서,
    상기 GTP 패킷을 패킷 관문 지원 노드(GGSN)로부터 수신하는 것을 더 포함하고,
    상기 분류하는 것은 상기 수신된 GTP 패킷으로부터 상기 GTP-U 패킷을 분류하는 것을 포함하는 GTP-in-GTP 패킷 검출 방법.
  23. 제12항, 제13항, 제15항 내지 제22항 중 어느 한 항에 기재된 GTP-in-GTP 패킷 검출 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터 판독가능 매체.
KR1020110112296A 2011-10-31 2011-10-31 GTP-in-GTP 패킷 검출 장치 및 방법 KR101125817B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110112296A KR101125817B1 (ko) 2011-10-31 2011-10-31 GTP-in-GTP 패킷 검출 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110112296A KR101125817B1 (ko) 2011-10-31 2011-10-31 GTP-in-GTP 패킷 검출 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101125817B1 true KR101125817B1 (ko) 2012-03-27

Family

ID=46142149

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110112296A KR101125817B1 (ko) 2011-10-31 2011-10-31 GTP-in-GTP 패킷 검출 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101125817B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101366770B1 (ko) * 2012-05-07 2014-02-28 한국인터넷진흥원 GTP-in-GTP 패킷 검출 장치 및 방법
US8948019B2 (en) 2011-12-12 2015-02-03 Korea Internet & Security Agency System and method for preventing intrusion of abnormal GTP packet

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090030642A (ko) * 2007-09-20 2009-03-25 주식회사 케이티프리텔 아이피(ip) 멀티미디어 서브시스템을 이용하는wcdma 통신망에서의 호 분석 방법 및 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090030642A (ko) * 2007-09-20 2009-03-25 주식회사 케이티프리텔 아이피(ip) 멀티미디어 서브시스템을 이용하는wcdma 통신망에서의 호 분석 방법 및 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8948019B2 (en) 2011-12-12 2015-02-03 Korea Internet & Security Agency System and method for preventing intrusion of abnormal GTP packet
KR101366770B1 (ko) * 2012-05-07 2014-02-28 한국인터넷진흥원 GTP-in-GTP 패킷 검출 장치 및 방법

Similar Documents

Publication Publication Date Title
CN111800412B (zh) 高级可持续威胁溯源方法、系统、计算机设备及存储介质
US20210014689A1 (en) Device behavior detection method, blocking processing method, medium, and electronic device
CN105635084B (zh) 终端认证装置及方法
US20140219101A1 (en) Feature Extraction Apparatus, and Network Traffic Identification Method, Apparatus, and System
Abdelrahman et al. Signalling storms in 3G mobile networks
US9380071B2 (en) Method for detection of persistent malware on a network node
US20210092610A1 (en) Method for detecting access point characteristics using machine learning
CA3159619C (en) Packet processing method and apparatus, device, and computer-readable storage medium
KR102323712B1 (ko) Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법
US20170201533A1 (en) Mobile aware intrusion detection system
KR102102835B1 (ko) Wips 센서
US12028364B2 (en) Communication control system, network controller and computer program
KR102171348B1 (ko) 어플리케이션 검출 방법 및 장치
KR101541348B1 (ko) Gtp 네트워크 기반 세션 관리 방법 및 장치
KR101125817B1 (ko) GTP-in-GTP 패킷 검출 장치 및 방법
KR101538309B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록 메시지 탐지 장치, 시스템 및 방법
CN103763759A (zh) 一种基于短信激活lte功能的方法及系统
KR20130006912A (ko) 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템 및 그 방법
Gelenbe et al. Countering mobile signaling storms with counters
EP3641248B1 (en) Traffic optimization device, communication system, traffic optimization method, and program
KR101366770B1 (ko) GTP-in-GTP 패킷 검출 장치 및 방법
CN112615867B (zh) 数据包检测方法和装置
Jang et al. Session-based detection of signaling DoS on LTE mobile networks
KR101564228B1 (ko) 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법
KR101785680B1 (ko) 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150106

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee