KR101144819B1 - 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법 - Google Patents

분산서비스거부 공격 탐지 및 방어 장치 및 그 방법 Download PDF

Info

Publication number
KR101144819B1
KR101144819B1 KR1020100116686A KR20100116686A KR101144819B1 KR 101144819 B1 KR101144819 B1 KR 101144819B1 KR 1020100116686 A KR1020100116686 A KR 1020100116686A KR 20100116686 A KR20100116686 A KR 20100116686A KR 101144819 B1 KR101144819 B1 KR 101144819B1
Authority
KR
South Korea
Prior art keywords
packet
destination address
ddos attack
spoofing
routing table
Prior art date
Application number
KR1020100116686A
Other languages
English (en)
Inventor
송중호
박상배
최영리
최동훈
박동인
Original Assignee
한국과학기술정보연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술정보연구원 filed Critical 한국과학기술정보연구원
Priority to KR1020100116686A priority Critical patent/KR101144819B1/ko
Application granted granted Critical
Publication of KR101144819B1 publication Critical patent/KR101144819B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법에 관한 것으로서, 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득하고, 상기 획득된 시작지 주소 및 제1 인터페이스 번호를 이용하여 IP(Internet Protocol) 스푸핑 발생 여부를 검사하는 IP 스푸핑 검사 모듈, IP 스푸핑이 발생되지 않은 패킷의 목적지 주소에 해당하는 라우팅 테이블을 확인하고, 상기 확인된 라우팅 테이블에서 해당 시작지 주소와 매핑된 참조 횟수를 근거로 DDoS(Distributed Denial of Service) 공격을 1차 탐지하는 라우팅 테이블 참조 횟수 검사 모듈, 상기 DDoS 공격이 1차 탐지된 목적지 주소를 가진 패킷에 대한 요청 대비 응답률 또는 응답 대비 요청률을 구하고, 상기 구해진 요청 대비 응답률 또는 응답 대비 요청률을 근거로 DDoS 공격을 2차 탐지하는 패킷 전송 제어 모듈을 포함한다.
따라서, 본 발명에 따르면, 네트워크 구성 필수 요소인 라우터의 기본 동작과정을 이용함으로 인해, 기존 네트워크 설정 변경이 필요하지 않고, 별도의 시스템을 구축하지 않아도 분산서비스거부 공격이 시작되는 모든 곳에서 방어가 가능하다.

Description

분산서비스거부 공격 탐지 및 방어 장치 및 그 방법{Apparatus and Method for detection and protection of Distributed Denial of Service Attack}
본 발명은 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법에 관한 것으로, 더욱 상세하게는 수신되는 패킷의 시작지 주소 및 제1 인터페이스 번호를 이용하여 IP(Internet Protocol) 스푸핑 발생 여부를 검사하고, IP 스푸핑이 발생되지 않은 패킷의 목적지 주소에 해당하는 라우팅 테이블에서 해당 시작지 주소와 매핑된 참조횟수를 근거로 DDoS(Distributed Denial of Service) 공격을 1차 탐지한 후, 상기 DDoS 공격이 1차 탐지된 목적지 주소를 가진 패킷에 대한 요청 대비 응답률 또는 응답 대비 요청률을 구하고, 상기 구해진 요청 대비 응답률 또는 응답 대비 요청률을 근거로 DDoS 공격을 2차 탐지하는 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법에 관한 것이다.
분산서비스거부공격(DDoS Attack, Distributed Denial of Service Attack, 이하 DDoS 공격이라 칭함)은 네트워크 자원이나 내부 시스템의 자원을 고갈시켜 정상적인 사용자가 원하는 서비스를 제공받지 못하게 하는 공격이다. 현재 다양한 공격 도구가 공개되어 있기 때문에 누구라도 해당 공격 도구를 이용하여 손쉽게 분산서비스거부 공격을 할 수 있는 실정이며, 상대적으로 대상 시스템에 대한 피해 정도는 심한 편이다.
또한, DDoS 공격은 정상적인 사용자(사람, 타 서비스)가 사이트에서 제공하는 서비스를 이용하기 위해 요청하는 과정에서 발생되는 일반적인 패킷 형태로 공격이 이루어지므로 정상적인 패킷과의 구분이 어려우며 탐지를 위해서는 탐지의 정확성이 고려되어야 한다.
그리고, DDoS 공격은 특정한 한 지점에서 발생하는 것이 아니라 다수의 지점에서 공격이 수행되므로 특정 장비 및 시스템이 없는 곳에서도 탐지 및 방어가 가능한 방법이 필요하다.
그러나, 기존의 기술들은 네트워크에 많은 부하가 걸리고 나서야 DDoS 공격을 감지하거나, 공격과정에서 발생하는 패킷을 저장하여 동일한 패킷이 입력되는 경우 이를 공격으로 탐지 및 방어하는 방식으로 동작하여 정확성이 떨어진다.
또한, 특정 장비 및 기술이 설치되어 있는 제약적인 환경에서만 공격 탐지 및 방어가 가능하여 전체 네트워크 중 일부 네트워크만 보호되는 문제점이 존재한다.
또한, DDoS 공격은 지속시간이 수 분에서 수 십분, 많아야 1시간을 넘지 않고 공격이 종료되기 때문에 네트워크상에서 공격을 신속 정확하게 탐지할 수 있는 방안이 요구된다.
본 발명은 상기한 문제점을 해결하기 위하여 안출한 것으로, 본 발명의 목적은 기존 네트워크 설정을 변경하지 않고, 별도의 시스템을 구축하지 않아도 되도록 네트워크 구성 필수 요소인 라우터의 기본 동작과정을 이용하여 DDoS 공격을 탐지 및 방어할 수 있는 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법을 제공하는데 있다.
본 발명의 다른 목적은 DDoS 공격 시작 지점, 공격 경유 지점, 공격 도달 지점에서 모두 적용 가능하여 네트워크 한 구간에서 공격이 발생하여도 해당 공격 대상 목적지 주소 및 공격 패턴을 전파하여 피해 규모를 줄일 수 있는 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법을 제공하는데 있다.
본 발명의 또 다른 목적은 네트워크상에서 DDoS 공격을 신속 정확하게 탐지할 수 있는 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법을 제공하는데 있다.
상기 목적들을 달성하기 위하여 본 발명에 따르면, 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득하고, 상기 획득된 시작지 주소 및 제1 인터페이스 번호를 이용하여 IP 스푸핑 발생 여부를 검사하는 IP 스푸핑 검사 모듈, IP 스푸핑이 발생되지 않은 패킷의 목적지 주소에 해당하는 라우팅 테이블을 확인하고, 상기 확인된 라우팅 테이블에서 해당 시작지 주소와 매핑된 참조 횟수를 근거로 DDoS 공격을 1차 탐지하는 라우팅 테이블 참조 횟수 검사 모듈, 상기 DDoS 공격이 1차 탐지된 목적지 주소를 가진 패킷에 대한 요청 대비 응답률 또는 응답 대비 요청률을 구하고, 상기 구해진 요청 대비 응답률 또는 응답 대비 요청률을 근거로 DDoS 공격을 2차 탐지하는 패킷 전송 제어 모듈을 포함하는 분산서비스거부 공격 탐지 및 방어 장치가 제공된다.
상기 IP 스푸핑 검사 모듈은 상기 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득하는 패킷 분석부, 상기 획득된 시작지 주소를 목적지 주소로 라우팅을 수행하여 제2 인터페이스 번호를 획득하는 제2 인터페이스 번호 획득부, 상기 획득된 제2 인터페이스 번호를 상기 제1 인터페이스 번호와 비교하여 일치하지 않은 경우, IP 스푸핑이 발생된 것으로 판단하여 IP 스푸핑 경고를 발생하고, 해당 패킷을 차단하는 IP 스푸핑 여부 판단부를 포함한다.
상기 IP 스푸핑 여부 판단부는 상기 제2 인터페이스 번호와 상기 제1 인터페이스 번호가 일치하는 경우, 해당 패킷을 상기 라우팅 테이블 참조 횟수 검사 모듈로 전송한다.
상기 라우팅 테이블 참조 횟수 검사 모듈은 상기 IP 스푸핑 검사 모듈로부터의 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하는 패킷 분석부, 상기 획득된 목적지 주소를 IP 스푸핑이 발생된 패킷의 목적지 주소와 비교하여 일치하는 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수에 가중치를 부여하여 증가시킨 후, 저장하는 라우팅 테이블 참조 횟수 제어부, 상기 저장된 참조 횟수를 미리 정해진 임계 참조횟수와 비교하여 상기 참조 횟수가 임계 참조횟수를 초과하는 경우, 상기 목적지 주소를 DDoS 공격 예상 목적지 주소로 DDoS 공격을 1차 탐지하는 제1 DDoS 공격 탐지부를 포함한다.
상기 라우팅 테이블 참조 횟수 제어부는 상기 획득된 목적지 주소가 IP 스푸핑이 발생된 패킷의 목적지 주소와 일치하지 않은 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수를 "1"증가시켜 저장한다.
상기 제1 DDoS 공격 탐지부는 상기 DDoS 공격이 1차 탐지된 목적지 주소를 DDoS 공격 예상 목적지 주소로 해당 시작지 주소와 함께 DDoS 공격 예상 목적지 주소 데이터베이스에 저장한다.
상기 패킷 전송 제어 모듈은 상기 라우팅 테이블 참조 횟수 검사 모듈로부터의 패킷을 분석하여 정상적인 형태의 패킷인지를 판단하는 패킷 분석부, 상기 패킷 분석부의 판단결과 정상적인 형태의 패킷인 경우, 해당 목적지 주소를 DDoS 공격 예상 목적지 주소와 비교하여 일치 여부를 판단하는 목적지 주소 비교부, 상기 비교결과 일치하는 경우, 상기 패킷의 TCP 헤더 정보를 바탕으로 상기 패킷이 요청 또는 응답인지를 판단하는 요청/응답 판단부, 상기 판단결과가 요청인 경우, 해당 패킷에 대한 요청 개수를 증가하고, 요청에 대한 응답률을 미리 정해진 제1 임계값과 비교하여 상기 응답률이 상기 제1 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보 신호를 발생하는 제2 DDoS 공격 탐지부를 포함한다.
상기 제2 DDoS 공격 탐지부는 상기 패킷이 응답인 경우, 해당 패킷에 대한 응답 개수를 증가하고, 응답에 대한 요청률을 미리 정해진 제2 임계값과 비교하여, 상기 요청률이 상기 제2 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보신호를 발생한다.
상기 제2 DDoS 공격 탐지부는 2차 DDoS 공격이 탐지된 패킷의 경우, 해당 패킷을 차단하고, 2차 DDoS 공격이 탐지되지 않은 패킷의 경우 전송한다.
상기 패킷 분석부는 상기 라우팅 테이블 참조 횟수 검사 모듈로부터의 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하고, 상기 패킷의 TCP 헤더 옵션값을 체크하여 상기 패킷이 정상인지의 여부를 판단한다.
본 발명의 다른 측면에 따르면, DDoS 공격 탐지 및 방어 장치가 DDoS 공격을 탐지 및 방어하는 방법에 있어서, (a) 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 인터페이스 번호를 획득하고, 상기 획득된 시작지 주소 및 제1 인터페이스 번호를 이용하여 IP 스푸핑 발생 여부를 검사하는 단계, (b) 상기 (a) 단계의 검사결과 IP 스푸핑이 발생되지 않은 패킷의 목적지 주소에 해당하는 라우팅 테이블을 확인하고, 상기 확인된 라우팅 테이블에서 해당 시작지 주소와 매핑된 참조 횟수를 근거로 DDoS 공격을 1차 탐지하는 단계, (c) 상기 DDoS 공격이 1차 탐지된 목적지 주소를 가진 패킷에 대한 요청 대비 응답률 또는 응답 대비 요청률을 구하고, 상기 구해진 요청 대비 응답률 또는 응답 대비 요청률을 근거로 DDoS 공격을 2차 탐지하는 단계를 포함하는 분산서비스거부 공격 탐지 및 방어 방법이 제공된다.
상기 (a) 단계는 상기 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득하는 단계, 상기 획득된 시작지 주소를 목적지 주소로 라우팅을 수행하여 제2 인터페이스 번호를 획득하는 단계, 상기 획득된 제2 인터페이스 번호를 상기 제1 인터페이스 번호와 비교하여 일치하지 않은 경우, IP 스푸핑이 발생된 것으로 판단하여 IP 스푸핑 경고를 발생하고, 해당 패킷을 차단하는 단계를 포함한다.
상기 (b) 단계는 상기 IP 스푸핑이 발생되지 않은 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하는 단계, 상기 획득된 목적지 주소를 IP 스푸핑이 발생된 패킷의 목적지 주소와 비교하여 일치하는 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수에 가중치를 부여하여 증가시킨 후, 저장하는 단계, 상기 저장된 참조 횟수를 미리 정해진 임계 참조횟수와 비교하여 상기 참조 횟수가 임계 참조횟수를 초과하는 경우, 상기 목적지 주소를 DDoS 공격 예상 목적지 주소로 DDoS 공격을 1차 탐지하는 단계를 포함한다.
상기 획득된 목적지 주소가 IP 스푸핑이 발생된 패킷의 목적지 주소와 일치하지 않은 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수를 "1"증가시켜 저장한다.
상기 DDoS 공격이 1차 탐지된 목적지 주소를 DDoS 공격 예상 목적지 주소로 해당 시작지 주소와 함께 DDoS 공격 예상 목적지 주소 데이터베이스에 저장한다.
상기 (c) 단계는 상기 (b) 단계를 거친 패킷을 분석하여 정상적인 형태의 패킷인지를 판단하는 단계, 상기 판단결과 정상적인 형태의 패킷인 경우, 해당 목적지 주소를 DDoS 공격 예상 목적지 주소와 비교하여 일치 여부를 판단하는 단계, 상기 비교결과 일치하는 경우, 상기 패킷의 TCP 헤더 정보를 바탕으로 상기 패킷이 데이터 요청 또는 응답인지를 판단하는 단계, 상기 판단결과가 요청인 경우, 해당 패킷에 대한 요청 개수를 증가하고, 요청에 대한 응답률을 미리 정해진 제1 임계값과 비교하여 상기 응답률이 상기 제1 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보 신호를 발생하는 단계를 포함한다.
상기 패킷이 응답인 경우, 해당 패킷에 대한 응답 개수를 증가하고, 응답에 대한 요청률을 미리 정해진 제2 임계값과 비교하여, 상기 요청률이 상기 제2 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보신호를 발생한다.
상기 2차 DDoS 공격이 탐지된 패킷의 경우, 해당 패킷을 차단하고, 2차 DDoS 공격이 탐지되지 않은 패킷의 경우 전송한다.
상기 (b) 단계를 거친 패킷을 분석하여 정상적인 형태의 패킷인지를 판단하는 단계는, 상기 라우팅 테이블 참조 횟수 검사 모듈로부터의 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하고, 상기 패킷의 TCP 헤더 옵션값을 체크하여 상기 패킷이 정상인지의 여부를 판단하는 것을 포함한다.
상술한 바와 같이 본 발명에 따르면, 네트워크 구성 필수 요소인 라우터의 기본 동작과정을 이용함으로 인해, 기존 네트워크 설정 변경이 필요하지 않고, 별도의 시스템을 구축하지 않아도 되는 장점이 있다.
또한, DDoS 공격 시작 지점, 공격 경유 지점, 공격 도달 지점에서 모두 적용 가능하여 네트워크 한 구간에서 공격이 발생하여도 해당 공격 대상 목적지 주소 및 공격 패턴을 전파하여 피해 규모를 줄일 수 있는 장점이 있다.
또한, 공격자(해커)로부터 네트워크 환경을 안전하게 보호하여 일반 사용자들에게 원활한 서비스를 제공할 수 있게 하는데 활용될 수 있다.
또한, 네트워크의 기본 구성 요소인 라우터의 기본 동작과정을 이용하여 사용하므로 특별한 장치 및 환경이 구성되어 있지 않은 상황에서도 적용가능하며, 단순한 과정을 거쳐 공격을 탐지 및 방어할 수 있어 현재 발표된 오픈소스를 활용할 수 있어 소규모 네트워크 환경을 가진 사업자 및 웹 서비스 사업자도 적은 비용으로 구축 및 유지가 가능한 장점이 있다.
또한, DDoS 공격이 시작되는 모든 곳에서 방어 가능하며, DDoS 공격의 목적지 주소에 대한 공유가 이루어지면 공격 목적지 주소에 해당하는 네트워크 사업자 및 웹 서비스 사업자가 공격을 탐지하지 못하는 상황에서도 능동적으로 대처 할 수 있게 되어 현재보다 더욱 빨리 분산서비스거부 공격에 대한 방어를 수행할 수 있게 된다.
도 1은 본 발명에 따른 분산서비스거부 공격 탐지 및 방어를 위한 시스템을 나타낸 도면.
도 2는 본 발명의 실시예에 따른 DDoS 공격 탐지 및 방어 장치의 구성을 개략적으로 나타낸 블럭도.
도 3은 도 2에 도시된 IP 스푸핑 검사 모듈의 구성을 상세히 나타낸 블럭도.
도 4는 도 2에 도시된 라우팅 테이블 참조 횟수 검사 모듈의 구성을 상세히 나타낸 블럭도.
도 5는 도 2에 도시된 패킷 전송 제어 모듈의 구성을 상세히 나타낸 블럭도.
도 6은 본 발명의 실시예에 따른 DDoS 공격 탐지 및 방어 장치가 DDoS 공격을 탐지 및 방어하는 방법을 나타낸 흐름도.
도 7은 본 발명의 실시예에 따른 DDoS 공격 탐지 및 방어 장치가 IP 스푸핑 발생 여부를 검사하는 방법을 나타낸 흐름도.
도 8은 본 발명의 실시예에 따른 DDoS 공격 탐지 및 방어 장치가 DDoS 공격을 1차 탐지하는 방법을 나타낸 흐름도.
도 9는 본 발명의 실시예에 따른 라우팅 테이블에서 참조횟수 값을 증가하는 방법을 설명하기 위한 도면.
도 10은 본 발명의 실시예에 따른 DDoS 공격을 1차 탐지하는 방법을 설명하기 위한 도면.
도 11은 본 발명의 실시예에 따른 DDoS 공격 탐지 및 방어 장치가 DDoS 공격을 2차 탐지하는 방법을 나타낸 흐름도.
도 12는 본 발명의 실시예에 따른 요청에 대한 응답률을 이용하여 DDoS 공격을 2차 탐지하는 방법을 설명하기 위한 도면.
본 발명의 전술한 목적과 기술적 구성 및 그에 따른 작용 효과에 관한 자세한 사항은 본 발명의 명세서에 첨부된 도면에 의거한 이하 상세한 설명에 의해 보다 명확하게 이해될 것이다.
도 1은 본 발명에 따른 분산서비스거부 공격 탐지 및 방어를 위한 시스템을 나타낸 도면이다.
도 1을 참조하면, 분산서비스거부 공격 탐지 및 방어를 위한 시스템은 라우터(130), 스위치(120), 호스트(110)로 구성된 내부 네트워크(100), 인터넷을 통해 외부 호스트와 연결되는 외부 네트워크(미도시)를 포함한다.
상기 라우터(130)는 라우팅을 위해 사용하는 라우팅 테이블의 참조횟수를 단위시간동안 패킷 시작지 주소별로 통계정보를 생성하고, 참조횟수가 지정된 임계 참조횟수를 초과하는 경우 DDoS 공격이라고 1차 탐지한다.
즉, 상기 라우터(130)는 내부 네트워크(100)로부터 전송되는 패킷에 대해 IP 스푸핑(IP Spoofing) 발생 여부를 검사하여 IP 스푸핑이 발생된 패킷의 목적지 주소를 DDoS 공격 예상 목적지 주소로 선택하고, DDoS 공격 예상 목적지 주소에 해당하는 라우팅 테이블의 참조횟수에 가중치를 부여하여 증가시킨 후, 참조횟수가 지정된 임계 참조횟수를 초과하는 경우 DDoS 공격이라고 1차 탐지한다.
또한, 상기 라우터는(130) DDoS 공격이 1차 탐지된 경우, DDoS 공격 예상 목적지 주소로 전송되는 패킷을 카운트하고, 외부 네트워크로부터의 패킷 중 DDoS 공격 예상 목적지 주소에서 공격 시작지 주소로 전송되는 패킷을 카운트하여 패킷 전송량의 차이가 미리 설정된 임계값을 초과하는 경우 DDoS 공격을 2차 탐지하여 DDoS 공격 탐지의 정확성을 높인다.
상기와 같이 라우터(130)는 DDoS 공격을 탐지 및 방어하는 역할을 수행하나, 이하에서는 DDoS 공격을 탐지 및 방어하는 역할을 수행하는 라우터(130)를 DDoS 공격 탐지 및 방어 장치로 칭하여 설명하기로 한다.
도 2는 본 발명의 실시예에 따른 DDoS 공격 탐지 및 방어 장치의 구성을 개략적으로 나타낸 블럭도이다.
도 2를 참조하면, DDoS 공격 탐지 및 방어 장치(200)는 내부 네트워크간의 접속 또는 WAN 접속을 위해 사용되는 제1 및 제2 인터페이스부(210a, 210b), IP 스푸핑 검사 모듈(220), 라우팅 테이블 참조횟수 검사 모듈(230), 패킷 전송 제어 모듈(240), DDoS 공격 예상 목적지 주소 데이터베이스(250)를 포함한다.
상기 IP 스푸핑 검사 모듈(220)은 상기 제1 또는 제2 인터페이스부(210a, 210b)로부터 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득하고, 상기 획득된 시작지 주소 및 제1 인터페이스 번호를 이용하여 IP 스푸핑 발생 여부를 검사한다.
상기 IP 스푸핑 검사 모듈(220)은 IP 스푸핑 발생이 감지된 경우, IP 스푸핑 경고를 발생하고, IP 스푸핑이 발생된 패킷을 상기 라우팅 테이블 참조횟수 검사 모듈로 전송하지 않는다. 이때, 상기 IP 스푸핑 검사 모듈(200)은 IP 스푸핑이 발생된 패킷의 목적지 주소를 DDoS 공격 예상 목적지 주소로 하여 상기 라우팅 테이블 참조횟수 검사 모듈로 전송한다.
또한, 상기 IP 스푸핑 검사 모듈(220)은 IP 스푸핑이 발생되지 않은 패킷은상기 라우팅 테이블 참조횟수 검사 모듈(230)로 전송한다.
상기와 같은 역할을 수행하는 IP 스푸핑 검사 모듈(220)에 대한 상세한 설명은 도 3을 참조하기로 한다.
상기 라우팅 테이블 참조횟수 검사 모듈(230)은 IP 스푸핑이 발생되지 않은 패킷의 목적지 주소에 해당하는 라우팅 테이블을 확인하고, 상기 확인된 라우팅 테이블에서 해당 시작지 주소와 매핑된 참조 횟수를 근거로 DDoS 공격을 1차 탐지한다.
즉, 라우팅 테이블 참조횟수 검사 모듈(230)은 IP 스푸핑이 발생하지 않은 모든 패킷을 분석하여 시작지 주소와 목적지 주소를 각각 획득한다.
그런 다음 상기 라우팅 테이블 참조횟수 검사 모듈(230)은 상기 획득된 목적지 주소로 라우팅 과정을 수행한다. 상기 과정을 통해서 “라우팅 테이블 참조횟수 테이블”이 만들어지는데, 상기 테이블의 정보는 패킷 시작지 주소, 라우팅 테이블 번호, 참조횟수의 정보를 가진다. 여기서, 상기 참조 횟수는 한번 참조할 때마다 "1" 또는 미리 정의된 값으로 증가되지만, 패킷의 목적지 주소가 IP 스푸핑이 발생한 패킷의 목적지 주소, 즉 DDoS 공격 예상 목적지 주소일 경우, 미리 정의된 가중치를 부여하여 증가시킨다.
그런 다음 상기 라우팅 테이블 참조횟수 검사 모듈(230)은 참조횟수를 미리 정해진 임계 참조횟수와 비교하여 임계 참조횟수를 초과하는 경우, 해당 목적지 주소를 DDoS 공격 예상 목적지 주소라고 DDoS 공격을 1차 탐지한다.
그런 다음 상기 라우팅 테이블 참조 횟수 검사 모듈(230)은 패킷들을 상기 패킷 전송 제어 모듈로 전송한다.
상기와 같은 역할을 수행하는 라우팅 테이블 참조 횟수 검사 모듈(230)에 대한 상세한 설명은 도 4를 참조하기로 한다.
상기 패킷 전송 제어 모듈(240)은 상기 1차 DDoS 공격이 탐지된 목적지 주소를 가진 패킷에 대해 요청 대비 응답률 또는 응답 대비 요청률을 구하고, 상기 구해진 요청 대비 응답률 또는 응답 대비 요청률을 근거로 DDoS 공격을 2차 탐지한다.
즉, 상기 패킷 전송 제어 모듈(240)은 상기 라우팅 테이블 참조횟수 검사 모듈(230)로부터의 패킷을 분석하여 정상적인 형태의 패킷인지를 판단하고, 정상적인 형태의 패킷인 경우, 해당 목적지 주소를 상기 DDoS 공격 예상 목적지 주소와 비교하여 일치 여부를 판단한다.
상기 비교결과 일치하는 경우, 상기 패킷 전송 제어 모듈(240)은 상기 패킷에 대한 요청 대비 응답률 또는 응답 대비 요청률을 구하고, 상기 구해진 요청 대비 응답률 또는 응답 대비 요청률을 근거로 DDoS 공격을 2차 탐지한다.
DDoS 공격은 데이터를 요청하고 응답을 기다려 다시 데이터를 전송하는 과정을 거치지 않고 일방적으로 요청 또는 응답에 대한 데이터만을 대량으로 전송하기 때문에 상기 패킷 전송 제어 모듈(240)은 요청에 대한 응답률과 응답에 대한 요청률이 차이가 발생하는 경우 DDoS 공격으로 판단한다.
상기와 같은 역할을 수행하는 패킷 전송 제어 모듈(240)에 대한 상세한 설명은 도 5를 참조하기로 한다.
도 3은 도 2에 도시된 IP 스푸핑 검사 모듈의 구성을 상세히 나타낸 블럭도이다.
도 3을 참조하면, IP 스푸핑 검사 모듈(220)은 패킷 분석부(221), 제2 인터페이스 번호 획득부(223), IP 스푸핑 여부 판단부(225)를 포함한다.
상기 패킷 분석부(221)는 제1 인터페이스부 또는 제2 인터페이스부를 통해 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득한다.
상기 제2 인터페이스 번호 획득부(223)는 상기 획득된 시작지 주소를 목적지 주소로 라우팅을 수행하여 제2 인터페이스 번호를 획득한다.
즉, 상기 제2 인터페이스 번호 획득부(223)는 상기 시작지 주소가 상기 제1 인터페이스 번호에 속한 호스트인지를 파악하기 위해 상기 시작지 주소를 목적지 주소로 라우팅 과정을 수행하여 제2 인터페이스 번호를 획득한다.
상기 IP 스푸핑 여부 판단부(225)는 상기 제2 인터페이스 번호를 상기 제1 인터페이스 번호와 비교하여 일치 여부를 판단하고, 그 판단결과를 근거로 IP 스푸핑 발생 여부를 판단하게 된다.
즉, 상기 IP 스푸핑 여부 판단부(225)는 상기 제2 인터페이스 번호가 상기 제1 인터페이스 번호와 일치하지 않은 경우, 해당 패킷에 IP 스푸핑이 발생된 것으로 판단하여 IP 스푸핑 경고를 발생하고, 해당 패킷을 라우팅 테이블 참조횟수 검사 모듈로 전송하지 않고 차단한다.
또한, 상기 IP 스푸핑 여부 판단부(225)는 상기 제2 인터페이스 번호가 상기 제1 인터페이스 번호가 일치하는 경우, 해당 패킷을 라우팅 테이블 참조 횟수 검사 모듈로 전송한다.
도 4는 도 2에 도시된 라우팅 테이블 참조횟수 검사 모듈의 구성을 상세히 나타낸 블럭도이다.
도 4를 참조하면, 라우팅 테이블 참조횟수 검사 모듈(230)은 패킷 분석부(231), 라우팅 테이블 참조횟수 제어부(233), 제1 DDoS 공격 탐지부(235)를 포함한다.
상기 패킷 분석부(231)는 IP 스푸핑 검사 모듈로부터 전송된 IP 스푸핑이 발생되지 않은 패킷을 분석하여 시작지 주소와 목적지 주소를 획득한다.
상기 라우팅 테이블 참조횟수 제어부(233)는 상기 획득된 목적지 주소를 IP 스푸핑이 발생된 패킷의 목적지 주소와 비교하여 일치하는 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수에 가중치를 부여하여 증가시킨 후, 저장한다.
또한, 상기 라우팅 테이블 참조횟수 제어부(233)는 상기 획득된 목적지 주소가 IP 스푸핑이 발생된 패킷의 목적지 주소와 일치하지 않은 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수를 "1"증가시켜 저장한다.
상기 제1 DDoS 공격 탐지부(235)는 상기 저장된 참조횟수를 미리 정해진 임계 참조횟수와 비교하여 상기 참조횟수가 임계 참조횟수를 초과하는 경우, 상기 목적지 주소를 DDoS 공격 예상 목적지 주소라고 DDoS 공격을 1차 탐지한다.
이때, 상기 제1 DDoS 공격 탐지부(235)는 상기 1차 DDoS 공격이 탐지된 목적지 주소를 DDoS 공격 예상 목적지 주소로 DDoS 공격 예상 목적지 주소 데이터베이스에 저장하며, 해당 시작지 주소를 DDoS 공격 시작지 주소로 같이 저장하여 공격 시작점을 알 수 있게 한다.
도 5는 도 2에 도시된 패킷 전송 제어 모듈의 구성을 상세히 나타낸 블럭도이다.
도 5를 참조하면, 패킷 전송 제어 모듈(240)은 패킷 분석부(241), 목적지 주소 비교부(243), 요청/응답 판단부(245), 제2 DDoS 공격 탐지부(247)를 포함한다.
상기 패킷 분석부(241)는 라우팅 테이블 참조횟수 검사 모듈로부터의 패킷을 분석하여 정상적인 형태의 패킷인지를 판단한다. 즉, 상기 패킷 분석부(241)는 상기 라우팅 테이블 참조횟수 검사 모듈로부터의 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하고, 상기 패킷의 TCP 헤더 옵션값을 체크하여 상기 패킷이 정상인지의 여부를 판단한다.
상기 패킷 분석부(241)는 상기 판단결과 상기 패킷이 정상이 아니면 상기 패킷을 DDoS 공격으로 판단하여 상기 목적지 주소 비교부(243)로 전송하지 않고, 상기 패킷이 정상이면 상기 패킷을 상기 목적지 주소 비교부(243)로 전송한다.
상기 목적지 주소 비교부(243)는 상기 패킷 분석부(241)로부터 수신된 패킷의 목적지 주소를 기 저장된 DDoS 공격 예상 목적지 주소와 비교하여 일치 여부를 판단한다.
상기 목적지 주소 비교부(243)는 상기 두 주소가 일치하면, 해당 패킷을 상기 요청/응답 판단부(245)로 전송하고, 일치하지 않으면 해당 패킷을 차단한다.
상기 요청/응답 판단부(245)는 상기 목적지 주소 비교부(243)로부터 수신된 패킷의 TCP 헤더 정보를 바탕으로 상기 패킷이 데이터 요청 또는 응답인지를 판단한다. 즉, TCP 프로토콜의 헤더 정보에는 이미 데이터 응답 및 요청에 관한 플래그 값이 정의되어 있으므로, 상기 요청/응답 판단부(245)는 TCP 헤더 정보와 플래그 값으로 해당 패킷이 요청 또는 응답인지를 판별할 수 있다.
상기 제2 DDoS 공격 탐지부(247)는 해당 패킷이 요청인 경우, 해당 패킷에 대한 요청 개수를 증가하고, 요청에 대한 응답률을 미리 정해진 제1 임계값과 비교하여 상기 응답률이 상기 제1 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보 신호를 발생한다.
또한, 상기 제2 DDoS 공격 탐지부(247)는 해당 패킷이 응답인 경우, 해당 패킷에 대한 응답 개수를 증가하고, 응답에 대한 요청률을 미리 정해진 제2 임계값과 비교하여, 상기 요청률이 상기 제2 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보신호를 발생한다.
또한, 상기 제2 DDoS 공격 탐지부(247)는 2차 DDoS 공격이 탐지된 패킷의 경우, 해당 패킷을 차단하고, 2차 DDoS 공격이 탐지되지 않은 패킷의 경우 전송한다.
도 6은 본 발명의 실시예에 따른 DDoS 공격 탐지 및 방어 장치가 DDoS 공격을 탐지 및 방어하는 방법을 나타낸 흐름도이다.
도 6을 참조하면, DDoS 공격 탐지 및 방어 장치는 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득하고, 상기 획득된 시작지 주소 및 제1 인터페이스 번호를 이용하여 IP 스푸핑 발생 여부를 검사하고(S600), 상기 패킷에 IP 스푸핑이 발생되었는지의 여부를 판단한다(S602).
상기 DDoS 공격 탐지 및 방어 장치가 IP 스푸핑 발생 여부를 검사하는 방법에 대한 상세한 설명은 도 7을 참조하기로 한다.
상기 S602의 판단결과 IP 스푸핑이 발생되지 않은 패킷의 경우, 상기 DDoS 공격 탐지 및 방어 장치는 상기 패킷의 목적지 주소에 해당하는 라우팅 테이블에서 해당 시작지 주소와 매핑된 참조횟수를 근거로 DDoS 공격을 1차 탐지한다(S604).
상기 DDoS 공격 탐지 및 방어 장치가 참조횟수를 근거로 DDoS 공격을 1차 탐지하는 방법에 대한 상세한 설명은 도 8을 참조하기로 한다.
상기 S604의 수행 후, 상기 DDoS 공격 탐지 및 방어 장치는 상기 1차 DDoS 공격이 탐지된 목적지 주소를 가진 패킷에 대한 요청 대비 응답률 또는 응답 대비 요청률을 근거로 DDoS 공격을 2차 탐지한다(S606).
이때, 상기 DDoS 공격 탐지 및 방어 장치는 DDoS 공격을 2차 탐지한 패킷은 전송하지 않는다.
상기 DDoS 공격 탐지 및 방어 장치가 DDoS 공격을 2차 탐지하는 방법에 대한 상세한 설명은 도 11을 참조하기로 한다.
만약, 상기 S602의 판단결과 IP 스푸핑이 발생된 패킷의 경우, 상기 DDoS 공격 탐지 및 방어 장치는 해당 패킷의 목적지 주소를 DDoS 공격 예상 목적지 주소로 저장하며 IP 스푸핑 경고를 발생하여 해당 패킷을 차단한다(S608).
도 7은 본 발명의 실시예에 따른 DDoS 공격 탐지 및 방어 장치가 IP 스푸핑 발생 여부를 검사하는 방법을 나타낸 흐름도이다.
도 7을 참조하면, DDoS 공격 탐지 및 방어 장치는 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득한다(S700).
그런 다음 상기 DDoS 공격 탐지 및 방어 장치는 상기 획득된 시작지 주소를 목적지 주소로 라우팅을 수행하여 제2 인터페이스 번호를 획득한다(S702).
상기 S702의 수행 후, 상기 DDoS 공격 탐지 및 방어 장치는 상기 획득된 제2 인터페이스 번호를 상기 제1 인터페이스 번호와 비교하여(S704), 두 인터페이스번호가 일치하는지의 여부를 판단한다(S706).
상기 S706의 판단결과 일치하는 경우, 상기 DDoS 공격 탐지 및 방어 장치는 상기 패킷을 전송한다(S708).
만약, 상기 S706의 판단결과 일치하지 않은 경우, 상기 DDoS 공격 탐지 및 방어 장치는 IP 스푸핑이 발생된 것으로 판단하여 IP 스푸핑 경고를 발생하고(S710), 상기 패킷을 차단한다(S712).
도 8은 본 발명의 실시예에 따른 DDoS 공격 탐지 및 방어 장치가 DDoS 공격을 1차 탐지하는 방법을 나타낸 흐름도, 도 9는 본 발명의 실시예에 따른 라우팅 테이블에서 참조횟수 값을 증가하는 방법을 설명하기 위한 도면, 도 10은 본 발명의 실시예에 따른 DDoS 공격을 1차 탐지하는 방법을 설명하기 위한 도면이다.
도 8을 참조하면, DDoS 공격 탐지 및 방어 장치는 IP 스푸핑이 발생되지 않은 패킷을 분석하여 시작지 주소와 목적지 주소를 획득한다(S800).
그런 다음 상기 DDoS 공격 탐지 및 방어 장치는 상기 획득된 목적지 주소를 IP 스푸핑이 발생된 패킷의 목적지 주소와 비교하여(S802) 일치하는지의 여부를 판단한다(S804).
상기 S804의 판단결과 일치하는 경우, 상기 DDoS 공격 탐지 및 방어 장치는 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조횟수에 가중치를 부여하여 증가시킨 후 저장한다(S806).
라우팅 테이블에서 참조 횟수를 증가하는 방법에 대해 도 9를 참조하면, 패킷 시작지 주소가 S6이고, 패킷 목적지 주소가 D5이며, DDoS 공격 예상 목적지 주소가 D5인 경우, 패킷 목적지 주소 D5는 라우팅 테이블 R5를 참조하게 되며, DDoS 공격 예상 목적지 주소 D5와 패킷 목적지 주소 D5가 일치하므로 시작지 주소당 테이블 참조횟수 테이블 [S6, H5] 테이블의 H5에 참조횟수가 가중치가 적용된 값으로 증가되게 된다.
상기 과정을 통해 생성되는 시작지 주소당 테이블 참조횟수는 일정시간에 걸쳐 설정된 단위시간 동안 값을 저장한다. 예를 들어, 일정시간이 10분이고, 단위시간이 1분인 경우 시작지 주소당 테이블 참조횟수 정보는 총 10개가 된다.
상기 S806의 수행 후, 상기 DDoS 공격 탐지 및 방어 장치는 상기 저장된 참조횟수를 미리 정해진 임계 참조횟수와 비교하여 상기 참조횟수가 임계 참조횟수를 초과하는지의 여부를 판단한다(S808).
상기 S808의 판단결과 상기 참조횟수가 상기 임계 참조횟수를 초과하는 경우, 상기 DDoS 공격 탐지 및 방어 장치는 상기 목적지 주소를 DDoS 공격 예상 목적지 주소로 DDoS 공격을 1차 탐지하고(S810), 상기 패킷을 전송한다(S812).
만약, 상기 S808의 판단결과 상기 참조횟수가 상기 임계 참조횟수를 초과하지 않으면, 상기 DDoS 공격 탐지 및 방어 장치는 상기 S812를 수행한다.
상기 참조횟수를 이용하여 DDoS 공격을 1차 탐지하는 방법에 대해 도 10을 참조하면, 설정된 임계 참조횟수는 80이고 단위시간(T)동안 데이터 시작지 주소당 라우팅 테이블 참조횟수 정보를 계산한 결과 참조횟수(S3, H1)가 (T+2), (T+4)의 시간에 임계 참조횟수를 초과하므로 DDoS 공격으로 탐지됨을 보이고 있다.
만약, 상기 S804의 판단결과 상기 획득된 목적지 주소가 IP 스푸핑이 발생된 패킷의 목적지 주소와 일치하지 않으면, 상기 DDoS 공격 탐지 및 방어 장치는 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수를 "1"증가시켜 저장한 후(S814), 상기 S808을 수행한다.
도 11은 본 발명의 실시예에 따른 DDoS 공격 탐지 및 방어 장치가 DDoS 공격을 2차 탐지하는 방법을 나타낸 흐름도, 도 12는 본 발명의 실시예에 따른 요청에 대한 응답률을 이용하여 DDoS 공격을 2차 탐지하는 방법을 설명하기 위한 도면이다.
도 11을 참조하면, DDoS 공격 탐지 및 방어 장치는 수신되는 패킷을 분석하여(S1100), 정상적인 형태의 패킷인지를 판단한다(S1102). 즉, 상기 DDoS 공격 탐지 및 방어 장치는 상기 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하고, 상기 패킷의 TCP 헤더 옵션값을 체크하여 상기 패킷이 정상인지의 여부를 판단한다.
상기 S1102의 판단결과 정상적인 형태의 패킷인 경우, 상기 DDoS 공격 탐지 및 방어 장치는 해당 목적지 주소를 상기 DDoS 공격 예상 목적지 주소와 비교하여(S1104), 일치하는지의 여부를 판단한다(S1106).
상기 S1106의 판단결과 일치하는 경우, 상기 DDoS 공격 탐지 및 방어 장치는 상기 패킷의 TCP 헤더 정보를 바탕으로 상기 패킷이 데이터 요청 또는 응답인지를 판단한다(S1108).
상기 패킷이 요청인 경우(S1110), 상기 DDoS 공격 탐지 및 방어 장치는 해당 패킷에 대한 요청 개수를 증가하고(S1112), 요청에 대한 응답률을 미리 정해진 제1 임계값과 비교하여(S1114) 상기 응답률이 상기 제1 임계값 이상인지의 여부를 판단한다(S1116).
상기 S1116의 판단결과 상기 응답률이 상기 제1 임계값 이상인 경우, 상기 DDoS 공격 탐지 및 방어 장치는 DDoS 공격을 2차 탐지하여 경보 신호를 발생하고(S1118), 상기 패킷을 차단한다(S1120).
요청에 대한 응답률을 이용하여 DDoS 공격을 2차 탐지하는 방법에 대해 도 12를 참조하면, (T), (T+1), (T+2)동안은 요청 개수에 비해 응답 개수가 적으나 설정된 제1 임계값(50)을 넘지 않아 공격으로 탐지되지 않았으나, (T+4) 시점에 데이터 도착지(D3)에 대한 요청 대비 응답 비율이 설정된 제1 임계값(50)을 넘어서 분산서비스거부 공격으로 탐지되었다.
만약 상기 S1116의 판단결과 상기 응답률이 상기 제1 임계값 이상이 아니면, 상기 DDoS 공격 탐지 및 방어 장치는 상기 패킷을 전송한다(S1128).
만약, 상기 S1110의 판단결과가 상기 패킷이 응답인 경우, 상기 DDoS 공격 탐지 및 방어 장치는 해당 패킷에 대한 응답 개수를 증가하고(S1122), 응답에 대한 요청률을 미리 정해진 제2 임계값과 비교하여(S1124), 상기 요청률이 상기 제2 임계값 이상인지의 여부를 판단한다(S1126).
상기 S1126의 판단결과 상기 요청률이 상기 제2 임계값 이상인 경우, 상기 DDoS 공격 탐지 및 방어 장치는 상기 S1118을 수행한다.
만약, 상기 S1126의 판단결과 상기 요청률이 상기 제2 임계값 이상이 아니면, 상기 DDoS 공격 탐지 및 방어 장치는 상기 S1128을 수행한다.
만약, 상기 S1106의 판단결과 일치하지 않으면, 상기 DDoS 공격 탐지 및 방어 장치는 상기 S1128을 수행한다.
만약, 상기 S1102의 판단결과 정상적인 형태의 패킷이 아니면, 상기 DDoS 공격 탐지 및 방어 장치는 상기 S1118을 수행한다.
상기와 같은 과정이 수행되면 요청 대비 응답률이 적은 데이터와 응답 대비 요청률이 적은 데이터를 판별할 수 있게 되어 DDoS 공격을 방어할 수 있다.
또한, 갑작스런 패킷 전송 증가와 정상적인 패킷 전송과정을 지키지 않는 패킷들을 판별할 수 있게 되고, 이를 방어 할 수 있게 되어 DDoS 공격을 방어할 수 있게 된다.
이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
110 : 호스트 120 : 스위치
130 : 라우터 200 : DDoS 공격 탐지 및 방어 장치
210 : 인터페이스부 220 : IP 스푸핑 검사 모듈
221, 231, 241 : 패킷 분석부 223 : 제2 인터페이스 번호 획득부
225 : IP 스푸핑 여부 판단부 230 : 라우팅테이블 참조횟수 검사 모듈
233 : 라우팅 테이블 참조횟수 제어부
235 : 제1 DDoS 공격 탐지부
240 : 패킷 전송 제어 모듈 243 : 목적지 주소 비교부
245 : 요청/응답 판단부 247 : 제2 DDoS 공격 탐지부

Claims (19)

  1. 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득하고, 상기 획득된 시작지 주소 및 제1 인터페이스 번호를 이용하여 IP(Internet Protocol) 스푸핑 발생 여부를 검사하는 IP 스푸핑 검사 모듈;
    IP 스푸핑이 발생되지 않은 패킷의 목적지 주소에 해당하는 라우팅 테이블을 확인하고, 상기 확인된 라우팅 테이블에서 해당 시작지 주소와 매핑된 참조횟수를 근거로 DDoS(Distributed Denial of Service) 공격을 1차 탐지하는 라우팅 테이블 참조 횟수 검사 모듈; 및
    상기 1차 DDoS 공격이 탐지된 목적지 주소를 가진 패킷에 대한 요청 대비 응답률 또는 응답 대비 요청률을 구하고, 상기 구해진 요청 대비 응답률 또는 응답 대비 요청률을 근거로 DDoS 공격을 2차 탐지하는 패킷 전송 제어 모듈;을 포함하되,
    상기 IP 스푸핑 검사 모듈은, 상기 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득하는 패킷 분석부;
    상기 획득된 시작지 주소를 목적지 주소로 라우팅을 수행하여 제2 인터페이스 번호를 획득하는 제2 인터페이스 번호 획득부; 및
    상기 획득된 제2 인터페이스 번호를 상기 제1 인터페이스 번호와 비교하여 일치하지 않은 경우, IP 스푸핑이 발생된 것으로 판단하여 IP 스푸핑 경고를 발생하고, 해당 패킷을 차단하는 IP 스푸핑 여부 판단부를 포함하는 분산서비스거부 공격 탐지 및 방어 장치.

  2. 삭제
  3. 제1항에 있어서,
    상기 IP 스푸핑 여부 판단부는 상기 제2 인터페이스 번호와 상기 제1 인터페이스 번호가 일치하는 경우, 해당 패킷을 상기 라우팅 테이블 참조횟수 검사 모듈로 전송하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치.
  4. 제1항에 있어서,
    상기 라우팅 테이블 참조 횟수 검사 모듈은,
    상기 IP 스푸핑 검사 모듈로부터의 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하는 패킷 분석부;
    상기 획득된 목적지 주소를 IP 스푸핑이 발생된 패킷의 목적지 주소와 비교하여 일치하는 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조횟수에 가중치를 부여하여 증가시킨 후, 저장하는 라우팅 테이블 참조횟수 제어부; 및
    상기 저장된 참조횟수를 미리 정해진 임계 참조횟수와 비교하여 상기 참조 횟수가 임계 참조횟수를 초과하는 경우, 상기 목적지 주소를 DDoS 공격 예상 목적지 주소라고 DDoS 공격을 1차 탐지하는 제1 DDoS 공격 탐지부를 포함하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치.
  5. 제4항에 있어서,
    상기 라우팅 테이블 참조 횟수 제어부는 상기 획득된 목적지 주소가 IP 스푸핑이 발생된 패킷의 목적지 주소와 일치하지 않은 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수를 "1"증가시켜 저장하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치.
  6. 제4항에 있어서,
    상기 제1 DDoS 공격 탐지부는 상기 1차 DDoS 공격이 탐지된 목적지 주소를 DDoS 공격 예상 목적지 주소로 해당 시작지 주소와 함께 DDoS 공격 예상 목적지 주소 데이터베이스에 저장하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치.
  7. 제1항에 있어서,
    상기 패킷 전송 제어 모듈은,
    상기 라우팅 테이블 참조횟수 검사 모듈로부터의 패킷을 분석하여 정상적인 형태의 패킷인지를 판단하는 패킷 분석부;
    상기 패킷 분석부의 판단결과 정상적인 형태의 패킷인 경우, 해당 목적지 주소를 DDoS 공격 예상 목적지 주소와 비교하여 일치 여부를 판단하는 목적지 주소 비교부;
    상기 비교결과 일치하는 경우, 상기 패킷의 TCP 헤더 정보를 바탕으로 상기 패킷이 요청 또는 응답인지를 판단하는 요청/응답 판단부;
    상기 판단결과가 요청인 경우, 해당 패킷에 대한 요청 개수를 증가하고, 요청에 대한 응답률을 미리 정해진 제1 임계값과 비교하여 상기 응답률이 상기 제1 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보 신호를 발생하는 제2 DDoS 공격 탐지부를 포함하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치.
  8. 제7항에 있어서,
    상기 제2 DDoS 공격 탐지부는 상기 패킷이 응답인 경우, 해당 패킷에 대한 응답 개수를 증가하고, 응답에 대한 요청률을 미리 정해진 제2 임계값과 비교하여, 상기 요청률이 상기 제2 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보신호를 발생하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치.
  9. 제7항에 있어서,
    상기 제2 DDoS 공격 탐지부는 2차 DDoS 공격이 탐지된 패킷의 경우, 해당 패킷을 차단하고, 2차 DDoS 공격이 탐지되지 않은 패킷의 경우 전송하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치.
  10. 제7항에 있어서,
    상기 패킷 분석부는
    상기 라우팅 테이블 참조횟수 검사 모듈로부터의 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하고,
    상기 패킷의 TCP 헤더 옵션값을 체크하여 상기 패킷이 정상인지의 여부를 판단하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치.
  11. DDoS 공격 탐지 및 방어 장치가 DDoS 공격을 탐지 및 방어하는 방법에 있어서,
    (a) 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 인터페이스 번호를 획득하고, 상기 획득된 시작지 주소 및 제1 인터페이스 번호를 이용하여 IP 스푸핑 발생 여부를 검사하는 단계;
    (b) 상기 (a) 단계의 검사결과 IP 스푸핑이 발생되지 않은 패킷의 목적지 주소에 해당하는 라우팅 테이블을 확인하고, 상기 확인된 라우팅 테이블에서 해당 시작지 주소와 매핑된 참조횟수를 근거로 DDoS 공격을 1차 탐지하는 단계; 및
    (c) 상기 1차 DDoS 공격이 탐지된 목적지 주소를 가진 패킷에 대한 요청 대비 응답률 또는 응답 대비 요청률을 구하고, 상기 구해진 요청 대비 응답률 또는 응답 대비 요청률을 근거로 DDoS 공격을 2차 탐지하는 단계;를 포함하되,
    상기 (a) 단계는, 상기 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득하는 단계;
    상기 획득된 시작지 주소를 목적지 주소로 라우팅을 수행하여 제2 인터페이스 번호를 획득하는 단계; 및
    상기 획득된 제2 인터페이스 번호를 상기 제1 인터페이스 번호와 비교하여 일치하지 않은 경우, IP 스푸핑이 발생된 것으로 판단하여 IP 스푸핑 경고를 발생하고, 해당 패킷을 차단하는 단계를 포함하는 분산서비스거부 공격 탐지 및 방어 방법.

  12. 삭제
  13. 제11항에 있어서,
    상기 (b) 단계는,
    상기 IP 스푸핑이 발생되지 않은 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하는 단계;
    상기 획득된 목적지 주소를 IP 스푸핑이 발생된 패킷의 목적지 주소와 비교하여 일치하는 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수에 가중치를 부여하여 증가시킨 후, 저장하는 단계;
    상기 저장된 참조 횟수를 미리 정해진 임계 참조횟수와 비교하여 상기 참조 횟수가 임계 참조횟수를 초과하는 경우, 상기 목적지 주소를 DDoS 공격 예상 목적지 주소로 DDoS 공격을 1차 탐지하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법.
  14. 제13항에 있어서,
    상기 획득된 목적지 주소가 IP 스푸핑이 발생된 패킷의 목적지 주소와 일치하지 않은 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수를 "1"증가시켜 저장하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법.
  15. 제13항에 있어서,
    상기 1차 DDoS 공격이 탐지된 목적지 주소를 DDoS 공격 예상 목적지 주소로 해당 시작지 주소와 함께 DDoS 공격 예상 목적지 주소 데이터베이스에 저장하는 단계를 더 포함하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법.
  16. 제13항에 있어서,
    상기 (c) 단계는,
    상기 (b) 단계를 거친 패킷을 분석하여 정상적인 형태의 패킷인지를 판단하는 단계;
    상기 판단결과 정상적인 형태의 패킷인 경우, 해당 목적지 주소를 DDoS 공격 예상 목적지 주소와 비교하여 일치 여부를 판단하는 단계;
    상기 비교결과 일치하는 경우, 상기 패킷의 TCP 헤더 정보를 바탕으로 상기 패킷이 데이터 요청 또는 응답인지를 판단하는 단계;
    상기 판단결과가 요청인 경우, 해당 패킷에 대한 요청 개수를 증가하고, 요청에 대한 응답률을 미리 정해진 제1 임계값과 비교하여 상기 응답률이 상기 제1 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보 신호를 발생하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법.
  17. 제16항에 있어서,
    상기 패킷이 응답인 경우, 해당 패킷에 대한 응답 개수를 증가하고, 응답에 대한 요청률을 미리 정해진 제2 임계값과 비교하여, 상기 요청률이 상기 제2 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보신호를 발생하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법.
  18. 제16항 또는 제17항에 있어서,
    상기 2차 DDoS 공격이 탐지된 패킷의 경우, 해당 패킷을 차단하고, 2차 DDoS 공격이 탐지되지 않은 패킷의 경우 전송하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법.
  19. 제16항에 있어서,
    상기 (b) 단계를 거친 패킷을 분석하여 정상적인 형태의 패킷인지를 판단하는 단계는,
    상기 라우팅 테이블 참조 횟수 검사 모듈로부터의 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하고,
    상기 패킷의 TCP 헤더 옵션값을 체크하여 상기 패킷이 정상인지의 여부를 판단하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법.
KR1020100116686A 2010-11-23 2010-11-23 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법 KR101144819B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100116686A KR101144819B1 (ko) 2010-11-23 2010-11-23 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100116686A KR101144819B1 (ko) 2010-11-23 2010-11-23 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법

Publications (1)

Publication Number Publication Date
KR101144819B1 true KR101144819B1 (ko) 2012-05-11

Family

ID=46271878

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100116686A KR101144819B1 (ko) 2010-11-23 2010-11-23 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR101144819B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101420196B1 (ko) * 2013-01-18 2014-07-18 한남대학교 산학협력단 DDoS 공격의 대응 방법 및 장치
US9699204B2 (en) 2014-06-30 2017-07-04 Electronics And Telecommunications Research Institute Abnormal traffic detection apparatus and method based on modbus communication pattern learning
CN113810398A (zh) * 2021-09-09 2021-12-17 新华三信息安全技术有限公司 一种攻击防护方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002019661A2 (en) 2000-09-01 2002-03-07 Top Layer Networks, Inc. System and process for defending against denial of service attacks on network nodes
US20050198519A1 (en) 2004-03-05 2005-09-08 Fujitsu Limited Unauthorized access blocking apparatus, method, program and system
KR20090083767A (ko) * 2008-01-30 2009-08-04 성균관대학교산학협력단 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002019661A2 (en) 2000-09-01 2002-03-07 Top Layer Networks, Inc. System and process for defending against denial of service attacks on network nodes
US20050198519A1 (en) 2004-03-05 2005-09-08 Fujitsu Limited Unauthorized access blocking apparatus, method, program and system
KR20090083767A (ko) * 2008-01-30 2009-08-04 성균관대학교산학협력단 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101420196B1 (ko) * 2013-01-18 2014-07-18 한남대학교 산학협력단 DDoS 공격의 대응 방법 및 장치
US9699204B2 (en) 2014-06-30 2017-07-04 Electronics And Telecommunications Research Institute Abnormal traffic detection apparatus and method based on modbus communication pattern learning
CN113810398A (zh) * 2021-09-09 2021-12-17 新华三信息安全技术有限公司 一种攻击防护方法、装置、设备及存储介质
CN113810398B (zh) * 2021-09-09 2023-09-26 新华三信息安全技术有限公司 一种攻击防护方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
Dharma et al. Time-based DDoS detection and mitigation for SDN controller
US7636942B2 (en) Method and system for detecting denial-of-service attack
KR101761737B1 (ko) 제어 시스템의 이상행위 탐지 시스템 및 방법
KR101231975B1 (ko) 차단서버를 이용한 스푸핑 공격 방어방법
US7200866B2 (en) System and method for defending against distributed denial-of-service attack on active network
Hussein et al. SDN security plane: An architecture for resilient security services
US20140189867A1 (en) DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH
RU2636640C2 (ru) Способ защиты элементов виртуальных частных сетей связи от ddos-атак
US7917957B2 (en) Method and system for counting new destination addresses
KR20140022975A (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
US20110211492A1 (en) Ibypass high density device and methods thereof
US8839406B2 (en) Method and apparatus for controlling blocking of service attack by using access control list
KR101144819B1 (ko) 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법
KR100950900B1 (ko) 분산서비스거부 공격 방어방법 및 방어시스템
RU2628913C1 (ru) Способ обнаружения удаленных атак на автоматизированные системы управления
US11895146B2 (en) Infection-spreading attack detection system and method, and program
Yerriswamy et al. An efficient hybrid protocol framework for DDoS attack detection and mitigation using evolutionary technique
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치
RU2531878C1 (ru) Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети
CN112688938B (zh) 基于攻防模式的网络性能测量系统及方法
KR101231966B1 (ko) 장애 방지 서버 및 방법
KR20160087448A (ko) 플로우 별 통계 정보를 활용한 아웃라이어 감지 기반의 DDoS 공격자 구별 방법 및 장치
Manu et al. Intrusion tolerant architecture for SDN networks through flow monitoring
KR101400127B1 (ko) 비정상 데이터 패킷 검출 방법 및 장치
KR20120015784A (ko) 분산 서비스 거부 공격 대응 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150427

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160406

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170327

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190503

Year of fee payment: 8