KR101142890B1 - 네트워크 부하 분산 시스템 및 방법 - Google Patents
네트워크 부하 분산 시스템 및 방법 Download PDFInfo
- Publication number
- KR101142890B1 KR101142890B1 KR1020100113722A KR20100113722A KR101142890B1 KR 101142890 B1 KR101142890 B1 KR 101142890B1 KR 1020100113722 A KR1020100113722 A KR 1020100113722A KR 20100113722 A KR20100113722 A KR 20100113722A KR 101142890 B1 KR101142890 B1 KR 101142890B1
- Authority
- KR
- South Korea
- Prior art keywords
- syn
- packet
- received
- ack packet
- security devices
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
네트워크의 부하 분산 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 네트워크 부하 분산 시스템은, 서로 구별되는 고유의 아이디를 가지며, SYN 패킷을 수신하면 상기 SYN 패킷에 자신의 아이디를 부가하여 송신하는 복수 개의 보안 장치 및 상기 복수 개의 보안 장치로부터 각 보안 장치의 아이디가 부가된 SYN 패킷을 수신하고, 상기 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하여 상기 복수 개의 보안 장치로 송신하는 서버를 포함하며, 상기 복수 개의 보안 장치는 상기 SYN/ACK 패킷을 수신하고, 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하도록 구성된다.
Description
본 발명은 패킷 네트워크에서의 부하(load)를 분산하기 위한 기술과 관련된다.
일반적으로, 부하 분산(load distribution or load balancing)이란 컴퓨터 네트워크 기술의 일종으로서, 둘 혹은 셋 이상의 컴퓨터 자원들에게 작업을 나눔으로써 컴퓨터 자원의 가용성 및 요청에 대한 응답시간을 최적화하는 것을 의미한다.
이러한, 부하 분산은 다양한 분야에서 사용되고 있는데, 예를 들어 패킷 네트워크의 경우에는 동일한 구성을 가지는 복수 개의 네트워크 장치를 구비하고 인입되는 패킷들을 상기 네트워크 장치에 적절히 분배함으로써 하나의 네트워크 장치를 사용할 때 보다 더 많은 수의 패킷을 처리할 수 있도록 구성하는 것이 일반적이다.
그러나 종래의 패킷 네트워크에서의 부하 분산 방법은 가격이 비싼 L4 스위치를 사용하여야 하므로, 부하 분산을 위한 비용 부담이 과중화되는 문제점이 있었다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명은 TCP 연결 시 사용되는 SYN 쿠키를 응용하여 패킷을 분산함으로써 고가의 L4 스위치가 필요 없는 네트워크 부하 분산 시스템 및 방법을 제공하는 데 그 목적이 있다.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 네트워크 부하 분산 시스템은, 서로 구별되는 고유의 아이디를 가지며, SYN 패킷을 수신하면 상기 SYN 패킷에 자신의 아이디를 부가하여 송신하는 복수 개의 보안 장치; 및 상기 복수 개의 보안 장치로부터 각 보안 장치의 아이디가 부가된 SYN 패킷을 수신하고, 상기 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하여 상기 복수 개의 보안 장치로 송신하는 서버;를 포함하며, 상기 복수 개의 보안 장치는 상기 SYN/ACK 패킷을 수신하고, 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하도록 구성된다.
한편, 상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 네트워크 부하 분산 방법은, 제1스위치에서, 외부로부터 수신된 SYN 패킷을 복수 개의 보안 장치로 멀티캐스트 (multicast)하는 단계; 상기 복수 개의 보안 장치 각각에서, 상기 제1스위치로부터 상기 SYN 패킷을 수신하고, 수신된 상기 SYN 패킷에 각 보안 장치의 아이디를 부가하는 단계; 서버에서, 상기 복수 개의 보안 장치 각각으로부터, 상기 각 보안 장치의 아이디가 부가된 복수 개의 SYN 패킷을 수신하고, 수신된 상기 복수 개의 SYN 패킷 중 하나의 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하는 단계; 제2스위치에서, 상기 서버로부터 상기 SYN/ACK 패킷을 수신하고, 수신된 상기 SYN/ACK 패킷을 상기 복수 개의 보안 장치로 멀티캐스트 (multicast)하는 단계; 및 상기 복수 개의 보안 장치에서, 상기 제2스위치로부터 상기 SYN/ACK 패킷을 수신하고, 수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하는 단계를 포함한다.
본 발명의 실시예들에 따를 경우, 고가의 L4 스위치가 없이도 부하 분산 및 이중화가 가능하므로 별도의 비용 부담을 최소화하면서 네트워크의 부하 분산을 구현할 수 있다.
또한 본 발명의 수행 중 새로운 보안 장치가 추가되더라도 본 발명의 실시예들에 따를 경우에는 기존의 보안 장치들에 대한 별도의 설정이 필요없게 되며, 각 보안 장치 사이의 별도의 세션 상태 동기화 또한 필요 없게 되므로 네트워크 관리가 간편해지게 되는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크의 부하 분산 시스템(100)을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 부하 분산 방법(200)을 순차 도시한 순서도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 부하 분산 방법(200)을 순차 도시한 순서도이다.
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하의 실시예는 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
본 발명을 설명하기에 앞서, SYN 쿠키 및 ARP에 대하여 간단히 설명하기로 한다.
SYN 쿠키란 서버와 클라이언트간의 TCP 연결을 위한 3-way-handshake 규칙을 악용한 SYN Flood 공격을 막기 위하여 사용하는 TCP 초기 시퀀스 값을 의미한다.
일반적인 3-way-handshake는 다음과 같이 동작한다. 먼저, 서버와 접속을 원하는 클라이언트가 SYN 패킷을 서버로 전송한다. 이때 상기 SYN 패킷에는 초기 시퀀스 번호(Initial Sequence Number)가 포함된다. SYN 패킷을 수신한 서버는 이에 대한 응답으로 SYN/ACK 패킷을 클라이언트로 송신하며, 이를 수신한 클라이언트가 서버로 ACK 패킷을 전송함으로써 클라이언트와 서버 간의 접속이 완료된다.
상기와 같은 3-way-handshaking 과정에서, 서버는 상기 SYN 패킷을 수신하면 이에 대응되는 SYN 큐(queue)를 생성하게 된다. SYN Flood 공격은 이를 악용한 것으로서, 발신자 IP를 조작한 다량의 SYN 패킷을 서버로 전송하는 형태의 공격을 의미한다. 만약 서버가 처리할 수 있는 한도를 넘어서는 SYN 패킷이 수신되는 경우 서버의 SYN 큐가 가득 차게 되며, 이후에는 정상적인 SYN 패킷 또한 드롭(drop)되어 버리므로 정상적인 서비스가 불가능하게 된다.
SYN 쿠키란 이와 같은 SYN Flood 공격을 막기 위해 사용되는 서버 측에서의 특별한 초기 시퀀스 번호이다. SYN 패킷을 수신하면, 서버는 클라이언트의 IP 주소 및 포트, 서버의 IP 주소 및 포트 등을 조합한 비밀 코드를 생성하고 이를 상기 SYN/ACK 패킷에 실어 클라이언트로 전송한다. 이후 상기 클라이언트로부터 ACK 패킷이 수신되면, 서버는 상기 ACK 패킷에 상기 비밀 코드가 포함되어 있는지를 판단하고, 비밀 코드가 포함되어 있는 경우에만 정상적인 접속 시도로 판단하여 해당 세션을 SYN 큐에 등록하게 된다. 즉, SYN 쿠키를 이용할 경우에는 모든 SYN 패킷에 대응되는 접속 정보를 SYN 큐에 등록되는 것이 아니라, SYN 쿠키를 이용하여 해당 SYN 패킷이 정상적인 접속 시도인지를 판단한 후에 SYN 큐에 등록하게 되므로 SYN Flood 공격을 효과적으로 차단할 수 있다.
ARP(Address Resolution Protocol, 주소 결정 프로토콜)는 네트워크 상에서 IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜이다. 여기서 물리적 네트워크 주소란 48비트로 구성되는 MAC 어드레스를 의미한다.
예를 들어, IP 호스트 A가 IP 호스트 B에게 IP 패킷을 전송하려고 할 때 IP 호스트 B의 물리적 네트워크 주소를 모른다면, IP 호스트 A는 ARP를 이용하여 IP 호스트 B의 IP 주소와 브로드캐스팅 물리적 네트워크 주소 FF:FF:FF:FF:FF:FF를 가지는 ARP 패킷을 네트워크 상에 전송한다. IP 호스트 B는 자신의 IP 주소를 목적지로 하는 ARP 패킷을 수신하면 자신의 물리적 네트워크 주소를 IP 호스트 A에게 등답한다. 이와 같은 방식으로 수집된 IP 주소와 이에 해당하는 물리적 네트워크 주소 정보는 각 IP 호스트의 ARP 캐시라 불리는 메모리에 테이블 형태로 저장된 다음, 패킷을 전송할 때에 다시 사용된다.
도 1은 본 발명의 일 실시예에 따른 네트워크의 부하 분산 시스템(100)을 나타낸 도면이다.
도시된 바와 같이, 본 발명의 일 실시예에 따른 네트워크 부하 분산 시스템(100)은 제1스위치(102), 복수 개의 보안 장치(104), 제2스위치(106) 및 서버(108)를 포함한다.
제1스위치(102)는 외부 네트워크(WAN)로부터 수신한 패킷을 복수 개의 보안 장치(104)로 전송하고, 복수 개의 보안 장치(104)로부터 수신한 패킷은 상기 외부 네트워크로 송신한다. 본 발명의 실시예에서 제1스위치(102)는 일반적인 L2 스위치가 사용될 수 있다.
보안 장치(104)는 서버(108)의 앞 단에 위치하여 외부로부터의 공격을 탐지하거나 또는 차단하는 장치이다. 이러한 보안 장치(104)는, 예를 들어 파이어월(Firewall), 침입 탐지 시스템(intrusion detection system) 또는 침입 차단 시스템(intrusion prevention system) 중 하나로 구성될 수 있다. 상기 파이어월, 침입 탐지 시스템 및 침입 차단 시스템은 본 발명이 속하는 기술분야에서 일반적으로 사용되는 것들이므로 여기서는 그 상세한 설명을 생략한다.
도시된 바와 같이, 본 발명의 실시예에서는 부하 분산을 위하여 복수 개의 보안 장치를 구비한다. 도시된 실시예에서는 104-1, 104-2, 및 104-3의 3 대의 보안 장치가 구비되는 실시예를 도시하였으나, 본 발명은 보안 장치(104)의 개수에 한정되는 것은 아니며, 네트워크의 특성 등에 따라 다양한 개수의 보안 장치(104)를 구비할 수 있다.
상기 각 보안 장치(104)는 서로 구별되는 고유의 아이디(ID)를 가지며, 제1스위치(102)를 통하여 외부 네트워크(WAN)로부터 SYN 패킷을 수신하면 수신된 상기 SYN 패킷에 자신의 아이디를 부가하여 송신한다. 상기 각 보안 장치(104)의 아이디는, 예를 들어 상기 SYN 패킷의 시퀀스 번호 저장 영역에 저장된 시퀀스 번호와 함께 저장되거나, 또는 상기 시퀀스 번호 저장 영역에 저장된 시퀀스 번호를 대체하여 저장될 수 있다.
또한, 상기 각 보안 장치(104)는 제1스위치(102)를 통하여 외부 네트워크(WAN)로부터 ARP 요청이 수신되면, 상기 ARP 요청에 대응되는 ARP 응답에 멀티캐스트(multicast)용 MAC 주소를 부가하여 제1스위치(102)로 송신하도록 구성된다. 이에 따라 상기 ARP 응답을 수신한 외부 네트워크는 상기 SYN 패킷에 상기 멀티캐스트용 MAC 주소를 포함시켜 전송하게 되며, 제1스위치(102)는 외부 네트워크로부터 이러한 SYN 패킷을 수신하고, 수신된 상기 SYN 패킷을 특정 보안 장치(104)로 포워딩하는 것이 아니라 복수 개의 보안 장치(104) 각각으로 상기 SYN 패킷을 멀티캐스트(multicast)하게 된다.
다음으로, 제2스위치(106)는 각 보안 장치(104)로부터 자신의 아이디가 부가된 SYN 패킷을 수신하고, 수신된 상기 SYN 패킷을 서버(108)로 송신한다. 상기 제2스위치(106) 또한 제1스위치(102)와 마찬가지로 일반적인 L2 스위치가 사용될 수 있다.
서버(108)는 제2스위치(106)를 경유하여 복수 개의 보안 장치(104)로부터 각 보안 장치의 아이디가 부가된 SYN 패킷을 수신하고, 상기 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하여 상기 복수 개의 보안 장치로 송신한다. 이때 서버(108)는 수신된 SYN 패킷 모두에 대하여 SYN/ACK 패킷을 생성하는 것이 아니라 복수 개의 SYN 패킷 중 수신 시간이 가장 빠른 SYN 패킷에 대응되는 SYN/ACK 패킷만을 생성하고, 이를 제외한 나머지 SYN 패킷은 폐기한다. 예를 들어, 도 1에 도시된 실시예에서 보안 장치(104-2)로부터 전송된 SYN 패킷이 가장 빠른 시간에 서버(108)로 도달한 경우, 서버(108)는 상기 보안 장치(104-2)로부터 수신된 SYN 패킷에 대해서만 SYN/ACK 패킷을 생성한다. 도시된 바와 같이, 서버(108)는 실시예에 따라 하나 또는 둘 이상으로 구성될 수 있다.
서버(108)에 의하여 생성된 상기 SYN/ACK 패킷은 제2스위치(106)를 경유하여 다시 보안 장치(104)로 전달된다. 구체적으로, 제2스위치(106)는 서버(108)로부터 수신된 상기 SYN/ACK 패킷을 복수 개의 상기 보안 장치 각각으로 멀티캐스트(multicast)하게 된다.
상기 제2스위치(106)로부터 SYN/ACK 패킷을 수신하면, 각 보안 장치(104)는 먼저 수신된 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는지를 판단한다. 이는 상기 SYN/ACK 패킷의 Acknowledge number를 체크함으로써 알 수 있다. 즉, TCP 프로토콜에서 SYN/ACK 패킷의 Acknowledge number에는 SYN 패킷의 시퀀스 번호보다 하나 큰 값이 저장되며, 각 보안 장치(104)는 상기 SYN 패킷의 시퀀스 번호에 자신의 아이디를 저장하였으므로, 각 보안 장치(104)는 상기 SYN/ACK 패킷의 Acknowledge number를 확인함으로써 해당 SYN/ACK 패킷이 자신이 전송한 SYN 패킷에 대한 응답인지의 여부를 확인할 수 있다. 만약 상기 판단 결과 상기 SYN/ACK 패킷이 자신이 전송한 SYN 패킷에 대한 응답인 경우, 즉 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 해당 보안 장치(104)는 상기 SYN/ACK 패킷에 대응되는 세션을 자신의 세션 테이블에 등록한다. 또한 상기 세션을 등록한 보안 장치(104)는 상기 SYN/ACK 패킷에 포함된 acknowledge number에 포함된 자신의 아이디를 삭제하고, 기 수신된 SYN 패킷에 포함되어 있던 시퀀스 번호를 이용하여 복원한 뒤, 제1스위치(102)를 경유하여 외부 네트워크로 송신하게 된다. 이와 같이 SYN/ACK 패킷의 acknowledge number를 복원하는 이유는 외부 네트워크(WAN)는 보안 장치(104)에 의하여 SYN 패킷의 시퀀스 번호가 변조된 것을 알지 못하므로, 이 값을 복원하지 않을 경우 TCP 연결 자체가 불가능해지기 때문이다.
그러나 만약 상기 판단 결과, 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있지 않은 경우, 해당 보안 장치(104)는 수신한 SYN/ACK 패킷을 드롭(drop)한다. 전술한 예에서, 서버(108)는 보안 장치(104-2)로부터 수신한 SYN 패킷에 대한 SYN/ACK 패킷만을 생성하였으므로, 보안 장치(104-2)는 상기 SYN/ACK 패킷을 확인하여 해당 연결에 대한 세션을 등록하고, 나머지 보안 장치(104-1, 104-3)는 SYN/ACK 패킷을 폐기하게 된다.
이에 따라 이후의 TCP 패킷에 대해서는 제1스위치(102) 또는 제2스위치(106)에 의하여 패킷이 멀티캐스트 되더라도, 세션이 등록된 보안 장치(104-2)에서만 해당 패킷이 처리되고 나머지 보안 장치(104-1, 104-3)에서는 패킷이 계속 무시되므로, 자연스럽게 각 보안 장치(104)들 간에 부하 분산이 이루어질 수 있다.
도 2는 본 발명의 일 실시예에 따른 네트워크 부하 분산 방법(200)을 순차 도시한 순서도이다.
먼저, 보안 장치(104)에서, 제1스위치(102)를 경유하여 외부 네트워크로부터 ARP 요청을 수신하면(S202), 보안 장치(104)는 수신된 ARP 요청에 대응되는 ARP 응답에 멀티캐스트(multicast)용 MAC 주소를 부가하고, 상기 멀티캐스트용 MAC 주소가 부가된 ARP 응답을 제1스위치(102)를 경유하여 외부 네트워크로 송신한다(S204).
다음으로, 외부 네트워크(WAN)로부터 SYN 패킷이 수신되면(S206), 제1스위치(102)는 상기 SYN 패킷을 복수 개의 보안 장치(104)로 멀티캐스트 (multicast)하고, 이를 수신한 복수 개의 보안 장치(104) 각각은 수신된 상기 SYN 패킷에 각 보안 장치(104)의 아이디를 부가하여 서버(108)로 전송한다(S208). 이때, 전술한 바와 같이 상기 아이디는 수신된 SYN 패킷의 시퀀스 번호 저장 영역에 저장될 수 있다.
이후, 서버(108)는 복수 개의 보안 장치(104) 각각으로부터 수신된 복수 개의 SYN 패킷 중 하나의 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성한다. 예를 들어, 서버(108)는 전술한 바와 같이 수신된 복수 개의 SYN 패킷 중 수신 시간이 가장 빠른 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하고, 수신 시간이 가장 빠른 SYN 패킷을 제외한 나머지 SYN 패킷은 폐기하도록 구성될 수 있다.
이후, 서버(108)에서 생성된 상기 SYN/ACK 패킷을 제2스위치(106)로 송신하면, 제2스위치(106)는 수신된 SYN/ACK 패킷을 복수 개의 보안 장치(104)로 멀티캐스트 (multicast)한다(S210).
다음으로, 복수 개의 보안 장치(104) 각각은 상기 SYN/ACK 패킷을 수신하고, 수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는지의 여부를 판단한다(S212).
만약 상기 판단 결과 수신된 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 보안 장치(104)는 상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하고(S214), 수신된 SYN/ACK 패킷에 부가된 아이디를 삭제한 뒤 제1스위치(102)를 경유하여 외부 네트워크(WAN)로 송신한다(S216). 그러나, 만약 상기 판단 결과 SYN/ACK 패킷에 자신의 아이디가 포함되어 있지 않은 경우에는, 수신된 SYN/ACK 패킷을 폐기한다(S218).
이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다.
그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
102 : 제1스위치 104 : 보안 장치
106 : 제2스위치 108 : 서버
106 : 제2스위치 108 : 서버
Claims (15)
- 외부 네트워크로부터 SYN 패킷을 수신하고, 수신된 상기 SYN 패킷을 멀티캐스트하는 제1스위치;
서로 구별되는 고유의 아이디를 가지며, 상기 제1스위치로부터 멀티캐스트된 SYN 패킷을 수신하면 상기 SYN 패킷에 자신의 아이디를 부가하여 송신하는 복수 개의 보안 장치; 및
상기 복수 개의 보안 장치로부터 각 보안 장치의 아이디가 부가된 SYN 패킷을 수신하고, 수신된 상기 SYN 패킷 중 하나에 대응되는 SYN/ACK 패킷을 생성하여 상기 복수 개의 보안 장치로 송신하는 서버를 포함하며,
상기 복수 개의 보안 장치는 상기 SYN/ACK 패킷을 수신하고, 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하는, 네트워크 부하 분산 시스템.
- 삭제
- 제1항에 있어서,
상기 보안 장치는, 상기 제1스위치를 경유하여 외부 네트워크로부터 ARP 요청이 수신되면, 상기 ARP 요청에 대응되는 ARP 응답에 멀티캐스트(multicast)용 MAC 주소를 부가하여 상기 제1스위치로 송신하는, 네트워크 부하 분산 시스템.
- 제1항에 있어서,
상기 보안 장치는, 상기 SYN 패킷의 시퀀스 번호 저장 영역에 자신의 아이디를 부가하여 저장하는, 네트워크 부하 분산 시스템.
- 제1항에 있어서,
상기 네트워크 부하 분산 시스템은,
상기 복수 개의 보안 장치 각각으로부터 SYN 패킷을 수신하여 상기 서버로 전송하고, 상기 서버로부터 수신된 상기 SYN/ACK 패킷을 복수 개의 상기 보안 장치 각각으로 멀티캐스트(multicast)하는 제2스위치를 더 포함하는, 네트워크 부하 분산 시스템.
- 제5항에 있어서,
상기 서버는, 상기 제2스위치를 경유하여 상기 복수 개의 보안 장치로부터 수신한 복수 개의 SYN 패킷 중 수신 시간이 가장 빠른 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하고, 상기 수신 시간이 가장 빠른 SYN 패킷을 제외한 나머지 SYN 패킷은 폐기하는, 네트워크 부하 분산 시스템.
- 제1항에 있어서,
상기 복수 개의 보안 장치는 수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 수신된 상기 SYN/ACK 패킷에 부가된 상기 아이디를 삭제하고 상기 제1스위치를 경유하여 외부 네트워크로 송신하는, 네트워크 부하 분산 시스템.
- 제7항에 있어서,
상기 복수 개의 보안 장치는 수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있지 않은 경우, 수신된 상기 SYN/ACK 패킷을 폐기하는, 네트워크 부하 분산 시스템.
- 제1항에 있어서,
상기 보안 장치는, 파이어월(Firewall), 침입 탐지 시스템(intrusion detection system) 또는 침입 차단 시스템(intrusion prevention system) 중 하나로 구성되는, 네트워크 부하 분산 시스템.
- 제1스위치에서, 외부로부터 수신된 SYN 패킷을 복수 개의 보안 장치로 멀티캐스트 (multicast)하는 단계;
상기 복수 개의 보안 장치 각각에서, 상기 제1스위치로부터 상기 SYN 패킷을 수신하고, 수신된 상기 SYN 패킷에 각 보안 장치의 아이디를 부가하는 단계;
서버에서, 상기 복수 개의 보안 장치 각각으로부터, 상기 각 보안 장치의 아이디가 부가된 복수 개의 SYN 패킷을 수신하고, 수신된 상기 복수 개의 SYN 패킷 중 하나의 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하는 단계;
제2스위치에서, 상기 서버로부터 상기 SYN/ACK 패킷을 수신하고, 수신된 상기 SYN/ACK 패킷을 상기 복수 개의 보안 장치로 멀티캐스트 (multicast)하는 단계; 및
상기 복수 개의 보안 장치에서, 상기 제2스위치로부터 상기 SYN/ACK 패킷을 수신하고, 수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하는 단계;
를 포함하는 네트워크 부하 분산 방법.
- 제10항에 있어서,
상기 SYN 패킷을 멀티캐스트하는 단계의 수행 전,
상기 복수 개의 보안 장치 중 적어도 하나의 보안 장치에서, 상기 제1스위치를 경유하여 외부 네트워크로부터 ARP 요청을 수신하는 단계;
상기 ARP 요청을 수신한 보안 장치에서, 수신된 상기 ARP 요청에 대응되는 ARP 응답에 멀티캐스트(multicast)용 MAC 주소를 부가하는 단계; 및
상기 ARP 요청을 수신한 보안 장치에서, 상기 멀티캐스트용 MAC 주소가 부가된 상기 ARP 응답을 상기 제1스위치를 경유하여 상기 외부 네트워크로 송신하는 단계;
를 더 포함하는 네트워크 부하 분산 방법.
- 제10항에 있어서,
수신된 상기 SYN 패킷에 각 보안 장치의 아이디를 부가하는 단계는,
수신된 상기 SYN 패킷의 시퀀스 번호 저장 영역에 자신의 아이디를 부가하여 저장하도록 구성되는, 네트워크 부하 분산 방법.
- 제10항에 있어서,
상기 SYN/ACK 패킷을 생성하는 단계는,
수신된 상기 복수 개의 SYN 패킷 중 수신 시간이 가장 빠른 SYN 패킷에 대응되는 SYN/ACK 패킷을 생성하고, 상기 수신 시간이 가장 빠른 SYN 패킷을 제외한 나머지 SYN 패킷은 폐기하도록 구성되는, 네트워크 부하 분산 방법.
- 제10항에 있어서,
상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하는 단계는,
수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있지 않은 경우, 수신된 상기 SYN/ACK 패킷을 폐기하는 단계를 더 포함하는, 네트워크 부하 분산 방법.
- 제10항에 있어서,
상기 SYN/ACK 패킷에 대응되는 세션을 세션 테이블에 등록하는 단계의 수행 후,
상기 복수 개의 보안 장치에서, 수신된 상기 SYN/ACK 패킷에 자신의 아이디가 포함되어 있는 경우, 수신된 상기 SYN/ACK 패킷에 부가된 상기 아이디를 삭제하고 상기 제1스위치를 경유하여 외부 네트워크로 송신하는 단계를 더 포함하는, 네트워크 부하 분산 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100113722A KR101142890B1 (ko) | 2010-11-16 | 2010-11-16 | 네트워크 부하 분산 시스템 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100113722A KR101142890B1 (ko) | 2010-11-16 | 2010-11-16 | 네트워크 부하 분산 시스템 및 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101142890B1 true KR101142890B1 (ko) | 2012-05-10 |
Family
ID=46271586
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100113722A KR101142890B1 (ko) | 2010-11-16 | 2010-11-16 | 네트워크 부하 분산 시스템 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101142890B1 (ko) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020040402A1 (en) | 2000-09-28 | 2002-04-04 | International Business Machines Corporation | System and method for implementing a clustered load balancer |
US20030031180A1 (en) | 1999-12-31 | 2003-02-13 | Ragula Systems D/B/A/ Fatpipe Networks | Combining routers to increase concurrency and redundancy in external network access |
US20050240989A1 (en) * | 2004-04-23 | 2005-10-27 | Seoul National University Industry Foundation | Method of sharing state between stateful inspection firewalls on mep network |
US6970913B1 (en) | 1999-07-02 | 2005-11-29 | Cisco Technology, Inc. | Load balancing using distributed forwarding agents with application based feedback for different virtual machines |
-
2010
- 2010-11-16 KR KR1020100113722A patent/KR101142890B1/ko active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6970913B1 (en) | 1999-07-02 | 2005-11-29 | Cisco Technology, Inc. | Load balancing using distributed forwarding agents with application based feedback for different virtual machines |
US20030031180A1 (en) | 1999-12-31 | 2003-02-13 | Ragula Systems D/B/A/ Fatpipe Networks | Combining routers to increase concurrency and redundancy in external network access |
US20020040402A1 (en) | 2000-09-28 | 2002-04-04 | International Business Machines Corporation | System and method for implementing a clustered load balancer |
US20050240989A1 (en) * | 2004-04-23 | 2005-10-27 | Seoul National University Industry Foundation | Method of sharing state between stateful inspection firewalls on mep network |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10798055B2 (en) | Detecting relayed communications | |
US8370937B2 (en) | Handling of DDoS attacks from NAT or proxy devices | |
US7768921B2 (en) | Identification of potential network threats using a distributed threshold random walk | |
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
EP1210808B1 (en) | Packet authentication | |
US20220174072A1 (en) | Data Processing Method and Device | |
CN102546661A (zh) | 一种防止IPv6网关邻居欺骗攻击的方法及系统 | |
US8379514B2 (en) | Route reflector for a communication system | |
US20040243843A1 (en) | Content server defending system | |
Kim et al. | An effective defense against SYN flooding attack in SDN | |
KR101142890B1 (ko) | 네트워크 부하 분산 시스템 및 방법 | |
US8284666B2 (en) | Method and apparatus for controlling packet flow in a packet-switched network | |
Kumarasamy et al. | An Efficient Detection Mechanism for Distributed Denial of Service (DDoS) Attack | |
Kung et al. | Design and analysis of an IP-layer anonymizing infrastructure | |
US11909762B2 (en) | Thwarting SYN flood DDOS attacks | |
KR100920327B1 (ko) | 서비스 처리 시스템 | |
KR20180045509A (ko) | Arp 스푸핑 공격을 감지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러 | |
Parks et al. | Vulnerabilities of reliable multicast protocols | |
JP3898119B2 (ja) | ファイアウォール多重装置およびパケット振分け方法 | |
Islam et al. | Using SCTP to implement multihomed web servers | |
Vinay et al. | Detection of ARP spoofing attack using ICMP protocol | |
KR20120059914A (ko) | 분산 서비스 거부 공격 탐지용 제품에 대한 평가 방법 및 평가 장치 | |
Hemanth et al. | Dynamic recognition of malicious routers | |
Avramopoulos | How to Take Back Your Address Space |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20150305 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20160330 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20170309 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20180403 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20190401 Year of fee payment: 8 |