KR101142890B1 - 네트워크 부하 분산 시스템 및 방법 - Google Patents

네트워크 부하 분산 시스템 및 방법 Download PDF

Info

Publication number
KR101142890B1
KR101142890B1 KR1020100113722A KR20100113722A KR101142890B1 KR 101142890 B1 KR101142890 B1 KR 101142890B1 KR 1020100113722 A KR1020100113722 A KR 1020100113722A KR 20100113722 A KR20100113722 A KR 20100113722A KR 101142890 B1 KR101142890 B1 KR 101142890B1
Authority
KR
South Korea
Prior art keywords
syn
packet
received
ack packet
security devices
Prior art date
Application number
KR1020100113722A
Other languages
English (en)
Inventor
조성면
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020100113722A priority Critical patent/KR101142890B1/ko
Application granted granted Critical
Publication of KR101142890B1 publication Critical patent/KR101142890B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크의 부하 분산 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 네트워크 부하 분산 시스템은, 서로 구별되는 고유의 아이디를 가지며, SYN 패킷을 수신하면 상기 SYN 패킷에 자신의 아이디를 부가하여 송신하는 복수 개의 보안 장치 및 상기 복수 개의 보안 장치로부터 각 보안 장치의 아이디가 부가된 SYN 패킷을 수신하고, 상기 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하여 상기 복수 개의 보안 장치로 송신하는 서버를 포함하며, 상기 복수 개의 보안 장치는 상기 SYN/ACK 패킷을 수신하고, 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하도록 구성된다.

Description

네트워크 부하 분산 시스템 및 방법{System and method for distributing traffic load on network}
본 발명은 패킷 네트워크에서의 부하(load)를 분산하기 위한 기술과 관련된다.
일반적으로, 부하 분산(load distribution or load balancing)이란 컴퓨터 네트워크 기술의 일종으로서, 둘 혹은 셋 이상의 컴퓨터 자원들에게 작업을 나눔으로써 컴퓨터 자원의 가용성 및 요청에 대한 응답시간을 최적화하는 것을 의미한다.
이러한, 부하 분산은 다양한 분야에서 사용되고 있는데, 예를 들어 패킷 네트워크의 경우에는 동일한 구성을 가지는 복수 개의 네트워크 장치를 구비하고 인입되는 패킷들을 상기 네트워크 장치에 적절히 분배함으로써 하나의 네트워크 장치를 사용할 때 보다 더 많은 수의 패킷을 처리할 수 있도록 구성하는 것이 일반적이다.
그러나 종래의 패킷 네트워크에서의 부하 분산 방법은 가격이 비싼 L4 스위치를 사용하여야 하므로, 부하 분산을 위한 비용 부담이 과중화되는 문제점이 있었다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명은 TCP 연결 시 사용되는 SYN 쿠키를 응용하여 패킷을 분산함으로써 고가의 L4 스위치가 필요 없는 네트워크 부하 분산 시스템 및 방법을 제공하는 데 그 목적이 있다.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 네트워크 부하 분산 시스템은, 서로 구별되는 고유의 아이디를 가지며, SYN 패킷을 수신하면 상기 SYN 패킷에 자신의 아이디를 부가하여 송신하는 복수 개의 보안 장치; 및 상기 복수 개의 보안 장치로부터 각 보안 장치의 아이디가 부가된 SYN 패킷을 수신하고, 상기 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하여 상기 복수 개의 보안 장치로 송신하는 서버;를 포함하며, 상기 복수 개의 보안 장치는 상기 SYN/ACK 패킷을 수신하고, 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하도록 구성된다.
한편, 상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 네트워크 부하 분산 방법은, 제1스위치에서, 외부로부터 수신된 SYN 패킷을 복수 개의 보안 장치로 멀티캐스트 (multicast)하는 단계; 상기 복수 개의 보안 장치 각각에서, 상기 제1스위치로부터 상기 SYN 패킷을 수신하고, 수신된 상기 SYN 패킷에 각 보안 장치의 아이디를 부가하는 단계; 서버에서, 상기 복수 개의 보안 장치 각각으로부터, 상기 각 보안 장치의 아이디가 부가된 복수 개의 SYN 패킷을 수신하고, 수신된 상기 복수 개의 SYN 패킷 중 하나의 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하는 단계; 제2스위치에서, 상기 서버로부터 상기 SYN/ACK 패킷을 수신하고, 수신된 상기 SYN/ACK 패킷을 상기 복수 개의 보안 장치로 멀티캐스트 (multicast)하는 단계; 및 상기 복수 개의 보안 장치에서, 상기 제2스위치로부터 상기 SYN/ACK 패킷을 수신하고, 수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하는 단계를 포함한다.
본 발명의 실시예들에 따를 경우, 고가의 L4 스위치가 없이도 부하 분산 및 이중화가 가능하므로 별도의 비용 부담을 최소화하면서 네트워크의 부하 분산을 구현할 수 있다.
또한 본 발명의 수행 중 새로운 보안 장치가 추가되더라도 본 발명의 실시예들에 따를 경우에는 기존의 보안 장치들에 대한 별도의 설정이 필요없게 되며, 각 보안 장치 사이의 별도의 세션 상태 동기화 또한 필요 없게 되므로 네트워크 관리가 간편해지게 되는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크의 부하 분산 시스템(100)을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 부하 분산 방법(200)을 순차 도시한 순서도이다.
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하의 실시예는 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
본 발명을 설명하기에 앞서, SYN 쿠키 및 ARP에 대하여 간단히 설명하기로 한다.
SYN 쿠키란 서버와 클라이언트간의 TCP 연결을 위한 3-way-handshake 규칙을 악용한 SYN Flood 공격을 막기 위하여 사용하는 TCP 초기 시퀀스 값을 의미한다.
일반적인 3-way-handshake는 다음과 같이 동작한다. 먼저, 서버와 접속을 원하는 클라이언트가 SYN 패킷을 서버로 전송한다. 이때 상기 SYN 패킷에는 초기 시퀀스 번호(Initial Sequence Number)가 포함된다. SYN 패킷을 수신한 서버는 이에 대한 응답으로 SYN/ACK 패킷을 클라이언트로 송신하며, 이를 수신한 클라이언트가 서버로 ACK 패킷을 전송함으로써 클라이언트와 서버 간의 접속이 완료된다.
상기와 같은 3-way-handshaking 과정에서, 서버는 상기 SYN 패킷을 수신하면 이에 대응되는 SYN 큐(queue)를 생성하게 된다. SYN Flood 공격은 이를 악용한 것으로서, 발신자 IP를 조작한 다량의 SYN 패킷을 서버로 전송하는 형태의 공격을 의미한다. 만약 서버가 처리할 수 있는 한도를 넘어서는 SYN 패킷이 수신되는 경우 서버의 SYN 큐가 가득 차게 되며, 이후에는 정상적인 SYN 패킷 또한 드롭(drop)되어 버리므로 정상적인 서비스가 불가능하게 된다.
SYN 쿠키란 이와 같은 SYN Flood 공격을 막기 위해 사용되는 서버 측에서의 특별한 초기 시퀀스 번호이다. SYN 패킷을 수신하면, 서버는 클라이언트의 IP 주소 및 포트, 서버의 IP 주소 및 포트 등을 조합한 비밀 코드를 생성하고 이를 상기 SYN/ACK 패킷에 실어 클라이언트로 전송한다. 이후 상기 클라이언트로부터 ACK 패킷이 수신되면, 서버는 상기 ACK 패킷에 상기 비밀 코드가 포함되어 있는지를 판단하고, 비밀 코드가 포함되어 있는 경우에만 정상적인 접속 시도로 판단하여 해당 세션을 SYN 큐에 등록하게 된다. 즉, SYN 쿠키를 이용할 경우에는 모든 SYN 패킷에 대응되는 접속 정보를 SYN 큐에 등록되는 것이 아니라, SYN 쿠키를 이용하여 해당 SYN 패킷이 정상적인 접속 시도인지를 판단한 후에 SYN 큐에 등록하게 되므로 SYN Flood 공격을 효과적으로 차단할 수 있다.
ARP(Address Resolution Protocol, 주소 결정 프로토콜)는 네트워크 상에서 IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜이다. 여기서 물리적 네트워크 주소란 48비트로 구성되는 MAC 어드레스를 의미한다.
예를 들어, IP 호스트 A가 IP 호스트 B에게 IP 패킷을 전송하려고 할 때 IP 호스트 B의 물리적 네트워크 주소를 모른다면, IP 호스트 A는 ARP를 이용하여 IP 호스트 B의 IP 주소와 브로드캐스팅 물리적 네트워크 주소 FF:FF:FF:FF:FF:FF를 가지는 ARP 패킷을 네트워크 상에 전송한다. IP 호스트 B는 자신의 IP 주소를 목적지로 하는 ARP 패킷을 수신하면 자신의 물리적 네트워크 주소를 IP 호스트 A에게 등답한다. 이와 같은 방식으로 수집된 IP 주소와 이에 해당하는 물리적 네트워크 주소 정보는 각 IP 호스트의 ARP 캐시라 불리는 메모리에 테이블 형태로 저장된 다음, 패킷을 전송할 때에 다시 사용된다.
도 1은 본 발명의 일 실시예에 따른 네트워크의 부하 분산 시스템(100)을 나타낸 도면이다.
도시된 바와 같이, 본 발명의 일 실시예에 따른 네트워크 부하 분산 시스템(100)은 제1스위치(102), 복수 개의 보안 장치(104), 제2스위치(106) 및 서버(108)를 포함한다.
제1스위치(102)는 외부 네트워크(WAN)로부터 수신한 패킷을 복수 개의 보안 장치(104)로 전송하고, 복수 개의 보안 장치(104)로부터 수신한 패킷은 상기 외부 네트워크로 송신한다. 본 발명의 실시예에서 제1스위치(102)는 일반적인 L2 스위치가 사용될 수 있다.
보안 장치(104)는 서버(108)의 앞 단에 위치하여 외부로부터의 공격을 탐지하거나 또는 차단하는 장치이다. 이러한 보안 장치(104)는, 예를 들어 파이어월(Firewall), 침입 탐지 시스템(intrusion detection system) 또는 침입 차단 시스템(intrusion prevention system) 중 하나로 구성될 수 있다. 상기 파이어월, 침입 탐지 시스템 및 침입 차단 시스템은 본 발명이 속하는 기술분야에서 일반적으로 사용되는 것들이므로 여기서는 그 상세한 설명을 생략한다.
도시된 바와 같이, 본 발명의 실시예에서는 부하 분산을 위하여 복수 개의 보안 장치를 구비한다. 도시된 실시예에서는 104-1, 104-2, 및 104-3의 3 대의 보안 장치가 구비되는 실시예를 도시하였으나, 본 발명은 보안 장치(104)의 개수에 한정되는 것은 아니며, 네트워크의 특성 등에 따라 다양한 개수의 보안 장치(104)를 구비할 수 있다.
상기 각 보안 장치(104)는 서로 구별되는 고유의 아이디(ID)를 가지며, 제1스위치(102)를 통하여 외부 네트워크(WAN)로부터 SYN 패킷을 수신하면 수신된 상기 SYN 패킷에 자신의 아이디를 부가하여 송신한다. 상기 각 보안 장치(104)의 아이디는, 예를 들어 상기 SYN 패킷의 시퀀스 번호 저장 영역에 저장된 시퀀스 번호와 함께 저장되거나, 또는 상기 시퀀스 번호 저장 영역에 저장된 시퀀스 번호를 대체하여 저장될 수 있다.
또한, 상기 각 보안 장치(104)는 제1스위치(102)를 통하여 외부 네트워크(WAN)로부터 ARP 요청이 수신되면, 상기 ARP 요청에 대응되는 ARP 응답에 멀티캐스트(multicast)용 MAC 주소를 부가하여 제1스위치(102)로 송신하도록 구성된다. 이에 따라 상기 ARP 응답을 수신한 외부 네트워크는 상기 SYN 패킷에 상기 멀티캐스트용 MAC 주소를 포함시켜 전송하게 되며, 제1스위치(102)는 외부 네트워크로부터 이러한 SYN 패킷을 수신하고, 수신된 상기 SYN 패킷을 특정 보안 장치(104)로 포워딩하는 것이 아니라 복수 개의 보안 장치(104) 각각으로 상기 SYN 패킷을 멀티캐스트(multicast)하게 된다.
다음으로, 제2스위치(106)는 각 보안 장치(104)로부터 자신의 아이디가 부가된 SYN 패킷을 수신하고, 수신된 상기 SYN 패킷을 서버(108)로 송신한다. 상기 제2스위치(106) 또한 제1스위치(102)와 마찬가지로 일반적인 L2 스위치가 사용될 수 있다.
서버(108)는 제2스위치(106)를 경유하여 복수 개의 보안 장치(104)로부터 각 보안 장치의 아이디가 부가된 SYN 패킷을 수신하고, 상기 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하여 상기 복수 개의 보안 장치로 송신한다. 이때 서버(108)는 수신된 SYN 패킷 모두에 대하여 SYN/ACK 패킷을 생성하는 것이 아니라 복수 개의 SYN 패킷 중 수신 시간이 가장 빠른 SYN 패킷에 대응되는 SYN/ACK 패킷만을 생성하고, 이를 제외한 나머지 SYN 패킷은 폐기한다. 예를 들어, 도 1에 도시된 실시예에서 보안 장치(104-2)로부터 전송된 SYN 패킷이 가장 빠른 시간에 서버(108)로 도달한 경우, 서버(108)는 상기 보안 장치(104-2)로부터 수신된 SYN 패킷에 대해서만 SYN/ACK 패킷을 생성한다. 도시된 바와 같이, 서버(108)는 실시예에 따라 하나 또는 둘 이상으로 구성될 수 있다.
서버(108)에 의하여 생성된 상기 SYN/ACK 패킷은 제2스위치(106)를 경유하여 다시 보안 장치(104)로 전달된다. 구체적으로, 제2스위치(106)는 서버(108)로부터 수신된 상기 SYN/ACK 패킷을 복수 개의 상기 보안 장치 각각으로 멀티캐스트(multicast)하게 된다.
상기 제2스위치(106)로부터 SYN/ACK 패킷을 수신하면, 각 보안 장치(104)는 먼저 수신된 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는지를 판단한다. 이는 상기 SYN/ACK 패킷의 Acknowledge number를 체크함으로써 알 수 있다. 즉, TCP 프로토콜에서 SYN/ACK 패킷의 Acknowledge number에는 SYN 패킷의 시퀀스 번호보다 하나 큰 값이 저장되며, 각 보안 장치(104)는 상기 SYN 패킷의 시퀀스 번호에 자신의 아이디를 저장하였으므로, 각 보안 장치(104)는 상기 SYN/ACK 패킷의 Acknowledge number를 확인함으로써 해당 SYN/ACK 패킷이 자신이 전송한 SYN 패킷에 대한 응답인지의 여부를 확인할 수 있다. 만약 상기 판단 결과 상기 SYN/ACK 패킷이 자신이 전송한 SYN 패킷에 대한 응답인 경우, 즉 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 해당 보안 장치(104)는 상기 SYN/ACK 패킷에 대응되는 세션을 자신의 세션 테이블에 등록한다. 또한 상기 세션을 등록한 보안 장치(104)는 상기 SYN/ACK 패킷에 포함된 acknowledge number에 포함된 자신의 아이디를 삭제하고, 기 수신된 SYN 패킷에 포함되어 있던 시퀀스 번호를 이용하여 복원한 뒤, 제1스위치(102)를 경유하여 외부 네트워크로 송신하게 된다. 이와 같이 SYN/ACK 패킷의 acknowledge number를 복원하는 이유는 외부 네트워크(WAN)는 보안 장치(104)에 의하여 SYN 패킷의 시퀀스 번호가 변조된 것을 알지 못하므로, 이 값을 복원하지 않을 경우 TCP 연결 자체가 불가능해지기 때문이다.
그러나 만약 상기 판단 결과, 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있지 않은 경우, 해당 보안 장치(104)는 수신한 SYN/ACK 패킷을 드롭(drop)한다. 전술한 예에서, 서버(108)는 보안 장치(104-2)로부터 수신한 SYN 패킷에 대한 SYN/ACK 패킷만을 생성하였으므로, 보안 장치(104-2)는 상기 SYN/ACK 패킷을 확인하여 해당 연결에 대한 세션을 등록하고, 나머지 보안 장치(104-1, 104-3)는 SYN/ACK 패킷을 폐기하게 된다.
이에 따라 이후의 TCP 패킷에 대해서는 제1스위치(102) 또는 제2스위치(106)에 의하여 패킷이 멀티캐스트 되더라도, 세션이 등록된 보안 장치(104-2)에서만 해당 패킷이 처리되고 나머지 보안 장치(104-1, 104-3)에서는 패킷이 계속 무시되므로, 자연스럽게 각 보안 장치(104)들 간에 부하 분산이 이루어질 수 있다.
도 2는 본 발명의 일 실시예에 따른 네트워크 부하 분산 방법(200)을 순차 도시한 순서도이다.
먼저, 보안 장치(104)에서, 제1스위치(102)를 경유하여 외부 네트워크로부터 ARP 요청을 수신하면(S202), 보안 장치(104)는 수신된 ARP 요청에 대응되는 ARP 응답에 멀티캐스트(multicast)용 MAC 주소를 부가하고, 상기 멀티캐스트용 MAC 주소가 부가된 ARP 응답을 제1스위치(102)를 경유하여 외부 네트워크로 송신한다(S204).
다음으로, 외부 네트워크(WAN)로부터 SYN 패킷이 수신되면(S206), 제1스위치(102)는 상기 SYN 패킷을 복수 개의 보안 장치(104)로 멀티캐스트 (multicast)하고, 이를 수신한 복수 개의 보안 장치(104) 각각은 수신된 상기 SYN 패킷에 각 보안 장치(104)의 아이디를 부가하여 서버(108)로 전송한다(S208). 이때, 전술한 바와 같이 상기 아이디는 수신된 SYN 패킷의 시퀀스 번호 저장 영역에 저장될 수 있다.
이후, 서버(108)는 복수 개의 보안 장치(104) 각각으로부터 수신된 복수 개의 SYN 패킷 중 하나의 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성한다. 예를 들어, 서버(108)는 전술한 바와 같이 수신된 복수 개의 SYN 패킷 중 수신 시간이 가장 빠른 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하고, 수신 시간이 가장 빠른 SYN 패킷을 제외한 나머지 SYN 패킷은 폐기하도록 구성될 수 있다.
이후, 서버(108)에서 생성된 상기 SYN/ACK 패킷을 제2스위치(106)로 송신하면, 제2스위치(106)는 수신된 SYN/ACK 패킷을 복수 개의 보안 장치(104)로 멀티캐스트 (multicast)한다(S210).
다음으로, 복수 개의 보안 장치(104) 각각은 상기 SYN/ACK 패킷을 수신하고, 수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는지의 여부를 판단한다(S212).
만약 상기 판단 결과 수신된 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 보안 장치(104)는 상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하고(S214), 수신된 SYN/ACK 패킷에 부가된 아이디를 삭제한 뒤 제1스위치(102)를 경유하여 외부 네트워크(WAN)로 송신한다(S216). 그러나, 만약 상기 판단 결과 SYN/ACK 패킷에 자신의 아이디가 포함되어 있지 않은 경우에는, 수신된 SYN/ACK 패킷을 폐기한다(S218).
이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다.
그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
102 : 제1스위치 104 : 보안 장치
106 : 제2스위치 108 : 서버

Claims (15)

  1. 외부 네트워크로부터 SYN 패킷을 수신하고, 수신된 상기 SYN 패킷을 멀티캐스트하는 제1스위치;
    서로 구별되는 고유의 아이디를 가지며, 상기 제1스위치로부터 멀티캐스트된 SYN 패킷을 수신하면 상기 SYN 패킷에 자신의 아이디를 부가하여 송신하는 복수 개의 보안 장치; 및
    상기 복수 개의 보안 장치로부터 각 보안 장치의 아이디가 부가된 SYN 패킷을 수신하고, 수신된 상기 SYN 패킷 중 하나에 대응되는 SYN/ACK 패킷을 생성하여 상기 복수 개의 보안 장치로 송신하는 서버를 포함하며,
    상기 복수 개의 보안 장치는 상기 SYN/ACK 패킷을 수신하고, 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하는, 네트워크 부하 분산 시스템.
  2. 삭제
  3. 제1항에 있어서,
    상기 보안 장치는, 상기 제1스위치를 경유하여 외부 네트워크로부터 ARP 요청이 수신되면, 상기 ARP 요청에 대응되는 ARP 응답에 멀티캐스트(multicast)용 MAC 주소를 부가하여 상기 제1스위치로 송신하는, 네트워크 부하 분산 시스템.
  4. 제1항에 있어서,
    상기 보안 장치는, 상기 SYN 패킷의 시퀀스 번호 저장 영역에 자신의 아이디를 부가하여 저장하는, 네트워크 부하 분산 시스템.
  5. 제1항에 있어서,
    상기 네트워크 부하 분산 시스템은,
    상기 복수 개의 보안 장치 각각으로부터 SYN 패킷을 수신하여 상기 서버로 전송하고, 상기 서버로부터 수신된 상기 SYN/ACK 패킷을 복수 개의 상기 보안 장치 각각으로 멀티캐스트(multicast)하는 제2스위치를 더 포함하는, 네트워크 부하 분산 시스템.
  6. 제5항에 있어서,
    상기 서버는, 상기 제2스위치를 경유하여 상기 복수 개의 보안 장치로부터 수신한 복수 개의 SYN 패킷 중 수신 시간이 가장 빠른 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하고, 상기 수신 시간이 가장 빠른 SYN 패킷을 제외한 나머지 SYN 패킷은 폐기하는, 네트워크 부하 분산 시스템.
  7. 제1항에 있어서,
    상기 복수 개의 보안 장치는 수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 수신된 상기 SYN/ACK 패킷에 부가된 상기 아이디를 삭제하고 상기 제1스위치를 경유하여 외부 네트워크로 송신하는, 네트워크 부하 분산 시스템.
  8. 제7항에 있어서,
    상기 복수 개의 보안 장치는 수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있지 않은 경우, 수신된 상기 SYN/ACK 패킷을 폐기하는, 네트워크 부하 분산 시스템.
  9. 제1항에 있어서,
    상기 보안 장치는, 파이어월(Firewall), 침입 탐지 시스템(intrusion detection system) 또는 침입 차단 시스템(intrusion prevention system) 중 하나로 구성되는, 네트워크 부하 분산 시스템.
  10. 제1스위치에서, 외부로부터 수신된 SYN 패킷을 복수 개의 보안 장치로 멀티캐스트 (multicast)하는 단계;
    상기 복수 개의 보안 장치 각각에서, 상기 제1스위치로부터 상기 SYN 패킷을 수신하고, 수신된 상기 SYN 패킷에 각 보안 장치의 아이디를 부가하는 단계;
    서버에서, 상기 복수 개의 보안 장치 각각으로부터, 상기 각 보안 장치의 아이디가 부가된 복수 개의 SYN 패킷을 수신하고, 수신된 상기 복수 개의 SYN 패킷 중 하나의 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하는 단계;
    제2스위치에서, 상기 서버로부터 상기 SYN/ACK 패킷을 수신하고, 수신된 상기 SYN/ACK 패킷을 상기 복수 개의 보안 장치로 멀티캐스트 (multicast)하는 단계; 및
    상기 복수 개의 보안 장치에서, 상기 제2스위치로부터 상기 SYN/ACK 패킷을 수신하고, 수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하는 단계;
    를 포함하는 네트워크 부하 분산 방법.
  11. 제10항에 있어서,
    상기 SYN 패킷을 멀티캐스트하는 단계의 수행 전,
    상기 복수 개의 보안 장치 중 적어도 하나의 보안 장치에서, 상기 제1스위치를 경유하여 외부 네트워크로부터 ARP 요청을 수신하는 단계;
    상기 ARP 요청을 수신한 보안 장치에서, 수신된 상기 ARP 요청에 대응되는 ARP 응답에 멀티캐스트(multicast)용 MAC 주소를 부가하는 단계; 및
    상기 ARP 요청을 수신한 보안 장치에서, 상기 멀티캐스트용 MAC 주소가 부가된 상기 ARP 응답을 상기 제1스위치를 경유하여 상기 외부 네트워크로 송신하는 단계;
    를 더 포함하는 네트워크 부하 분산 방법.
  12. 제10항에 있어서,
    수신된 상기 SYN 패킷에 각 보안 장치의 아이디를 부가하는 단계는,
    수신된 상기 SYN 패킷의 시퀀스 번호 저장 영역에 자신의 아이디를 부가하여 저장하도록 구성되는, 네트워크 부하 분산 방법.
  13. 제10항에 있어서,
    상기 SYN/ACK 패킷을 생성하는 단계는,
    수신된 상기 복수 개의 SYN 패킷 중 수신 시간이 가장 빠른 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하고, 상기 수신 시간이 가장 빠른 SYN 패킷을 제외한 나머지 SYN 패킷은 폐기하도록 구성되는, 네트워크 부하 분산 방법.
  14. 제10항에 있어서,
    상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하는 단계는,
    수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있지 않은 경우, 수신된 상기 SYN/ACK 패킷을 폐기하는 단계를 더 포함하는, 네트워크 부하 분산 방법.
  15. 제10항에 있어서,
    상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하는 단계의 수행 후,
    상기 복수 개의 보안 장치에서, 수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 수신된 상기 SYN/ACK 패킷에 부가된 상기 아이디를 삭제하고 상기 제1스위치를 경유하여 외부 네트워크로 송신하는 단계를 더 포함하는, 네트워크 부하 분산 방법.
KR1020100113722A 2010-11-16 2010-11-16 네트워크 부하 분산 시스템 및 방법 KR101142890B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100113722A KR101142890B1 (ko) 2010-11-16 2010-11-16 네트워크 부하 분산 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100113722A KR101142890B1 (ko) 2010-11-16 2010-11-16 네트워크 부하 분산 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101142890B1 true KR101142890B1 (ko) 2012-05-10

Family

ID=46271586

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100113722A KR101142890B1 (ko) 2010-11-16 2010-11-16 네트워크 부하 분산 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101142890B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020040402A1 (en) 2000-09-28 2002-04-04 International Business Machines Corporation System and method for implementing a clustered load balancer
US20030031180A1 (en) 1999-12-31 2003-02-13 Ragula Systems D/B/A/ Fatpipe Networks Combining routers to increase concurrency and redundancy in external network access
US20050240989A1 (en) * 2004-04-23 2005-10-27 Seoul National University Industry Foundation Method of sharing state between stateful inspection firewalls on mep network
US6970913B1 (en) 1999-07-02 2005-11-29 Cisco Technology, Inc. Load balancing using distributed forwarding agents with application based feedback for different virtual machines

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6970913B1 (en) 1999-07-02 2005-11-29 Cisco Technology, Inc. Load balancing using distributed forwarding agents with application based feedback for different virtual machines
US20030031180A1 (en) 1999-12-31 2003-02-13 Ragula Systems D/B/A/ Fatpipe Networks Combining routers to increase concurrency and redundancy in external network access
US20020040402A1 (en) 2000-09-28 2002-04-04 International Business Machines Corporation System and method for implementing a clustered load balancer
US20050240989A1 (en) * 2004-04-23 2005-10-27 Seoul National University Industry Foundation Method of sharing state between stateful inspection firewalls on mep network

Similar Documents

Publication Publication Date Title
US10798055B2 (en) Detecting relayed communications
US8370937B2 (en) Handling of DDoS attacks from NAT or proxy devices
US7768921B2 (en) Identification of potential network threats using a distributed threshold random walk
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US20120227088A1 (en) Method for authenticating communication traffic, communication system and protective apparatus
EP1210808B1 (en) Packet authentication
US20220174072A1 (en) Data Processing Method and Device
CN102546661A (zh) 一种防止IPv6网关邻居欺骗攻击的方法及系统
US8379514B2 (en) Route reflector for a communication system
US20040243843A1 (en) Content server defending system
Kim et al. An effective defense against SYN flooding attack in SDN
KR101142890B1 (ko) 네트워크 부하 분산 시스템 및 방법
US8284666B2 (en) Method and apparatus for controlling packet flow in a packet-switched network
Kumarasamy et al. An Efficient Detection Mechanism for Distributed Denial of Service (DDoS) Attack
Kung et al. Design and analysis of an IP-layer anonymizing infrastructure
US11909762B2 (en) Thwarting SYN flood DDOS attacks
KR100920327B1 (ko) 서비스 처리 시스템
KR20180045509A (ko) Arp 스푸핑 공격을 감지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
Parks et al. Vulnerabilities of reliable multicast protocols
JP3898119B2 (ja) ファイアウォール多重装置およびパケット振分け方法
Islam et al. Using SCTP to implement multihomed web servers
Vinay et al. Detection of ARP spoofing attack using ICMP protocol
KR20120059914A (ko) 분산 서비스 거부 공격 탐지용 제품에 대한 평가 방법 및 평가 장치
Hemanth et al. Dynamic recognition of malicious routers
Avramopoulos How to Take Back Your Address Space

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150305

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160330

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170309

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 8