KR101147483B1 - 하이브리드 DDoS 차단 시스템 및 그 방법 - Google Patents

하이브리드 DDoS 차단 시스템 및 그 방법 Download PDF

Info

Publication number
KR101147483B1
KR101147483B1 KR1020110124143A KR20110124143A KR101147483B1 KR 101147483 B1 KR101147483 B1 KR 101147483B1 KR 1020110124143 A KR1020110124143 A KR 1020110124143A KR 20110124143 A KR20110124143 A KR 20110124143A KR 101147483 B1 KR101147483 B1 KR 101147483B1
Authority
KR
South Korea
Prior art keywords
ddos
attack
packet
customer server
hybrid
Prior art date
Application number
KR1020110124143A
Other languages
English (en)
Inventor
김형정
Original Assignee
주식회사 엑스엔시스템즈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엑스엔시스템즈 filed Critical 주식회사 엑스엔시스템즈
Priority to KR1020110124143A priority Critical patent/KR101147483B1/ko
Application granted granted Critical
Publication of KR101147483B1 publication Critical patent/KR101147483B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

하이브리드 DDoS 차단 시스템 및 그 방법이 개시된다. 상기 하이브리드 DDoS 차단 시스템은 복수의 공격 호스트들로부터 고객 서버로 유입될 패킷들 중 적어도 일부를 확인하여 DDoS(Distributed Denial of Service) 공격 여부를 탐지하기 위한 탐지 모듈 및 상기 탐지 모듈에 의해 DDos 공격을 받는다고 판단된 경우, ISP(Internet Service Provider)의 매니저 시스템으로 제어신호를 전송하기 위한 제어모듈을 포함하며, 상기 매니저 시스템은 수신된 상기 제어신호에 기초하여 상기 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 적어도 하나의 네트워크 장치를 제어한다.

Description

하이브리드 DDoS 차단 시스템 및 그 방법{Hybrid Distributed Denial of Service prevention system and method thereof}
본 발명은 하이브리드 DDoS 차단 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 고객 서버에 연결되어 고객 측에 설치되는 DDoS 보안장비와 ISP(Internet Service Provider) 측에서 운영되며 패킷 제어가 가능한 시스템이 연동하여 DDoS 공격을 효율적으로 탐지함과 동시에 효과적으로 차단할 수 있는 시스템 및 그 방법에 관한 것이다.
네트워크 기술의 발달로 사람들은 온라인 상에서 필요한 많은 서비스들을 제공받고 있다. 하지만, 이러한 네트워크 기술의 발달과 함께 네트워크 상에서의 사이버 공격 역시 다양한 방식으로 진화되고 있다. 그 중에서 특히 DDoS(Distributed Denial of Service) 공격은 사이버 공격의 주류가 되고 있다.
특히 이러한 DDoS 공격은 종래에는 단순히 특정 웹 서버에 대규모의 트래픽을 발생시키는 방식이었던 반면, 최근에는 웹 서비스를 구성하는 DNS(Domain Name Server), 라우터 등의 인프라 스트럭쳐를 공격하거나, ISP(Internet Service Provider) 또는 기업망 자체를 공격하는 방식과 같이 그 대상 및 방식도 다양화되고 있다.
특히, 종래의 네트워크 대역폭을 범람시킬 정도의 대규모 트래픽을 발생시키기보다는 특정 웹 애플리케이션(예컨대, 이메일, 인터넷 뱅킹 등)을 목표로 공격함으로써 낮은 대역폭을 이용하면서도 DDoS 공격이 수행되고 있는 실정이다.
이러한 DDoS 공격의 대응방식은 크게 두 가지 방식으로 분류되고 있다. 첫째는 고객 측에 소정의 DDoS 장비를 설치하여 DDoS 공격을 탐지하고, DDoS 공격이 탐지되면 DDoS 공격에 이용되는 패킷을 차단하는 방식이다. 두 번째 방식은 ISP가 소정의 지점에 센서 등을 통해 망을 통과하는 패킷을 샘플링하고, 샘플링된 패킷을 분석하여 DDoS 공격을 탐지하는 방식이다. 그리고 DDoS 공격이 탐지되면 공격에 이용되는 패킷을 소정의 차단 시스템으로 리디렉션(redirection) 하는 방식을 이용하고 있다.
이러한 종래의 DDoS 대응방식을 도 1 및 도 2를 참조하여 간략히 설명하기로 한다.
도 1은 종래의 고객 측 사이트에 설치되는 DDoS 장비를 이용한 DDoS 대응방식을 설명하기 위한 도면이고, 도 2는 ISP가 수행하는 DDoS 대응방식을 설명하기 위한 도면이다.
도 1a는 인라인(In-line) 방식의 DDoS 대응방식을 나타내고, 도 1b는 아웃오브패스(Out-of-path) 방식의 DDoS 대응방식을 나타낸다.
도 1a에 도시된 바와 같은 인라인 방식은 고객 서버(2)로 유입되는 모든 패킷들이 DDoS 장비(1)를 경유하도록 설치되며, 상기 DDoS 장비(1)가 소정의 방식으로 DDoS를 탐지하여 공격 패킷이 고객 서버(2)로 유입되지 못하도록 차단하는 방식이다. 이러한 방식은 패킷의 전수 검사가 가능하며 단일장비를 통해 DDoS를 대응할 수 있다는 장점이 있지만 상기 DDoS 장비(1) 자체가 공격의 대상이 될 수 있고, 상기 DDoS 장비(1)가 다운되는 경우 고객 서버(2) 전체가 다운되는 문제점이 있다.
한편, 도 1b에 도시된 바와 같은 아웃오프패스 방식은 소정의 센서(3)를 이용하여 상기 고객 서버(2)로 유입되는 패킷들을 태핑(tapping)하고, 태핑된 패킷들이 상기 DDoS 장비(1)로 전송됨으로써 DDoS 공격이 탐지될 수 있다. 그리고 DDoS 공격이 탐지되면 상기 DDoS 장비(1)는 라우터를 제어하여 공격 패킷을 리디렉션(redirection)하여 상기 고객 서버(2)로 유입되지 못하도록 할 수 있다. 이러한 방식은 상기 DDoS 장비(1)나 센서(3)가 공격을 받을 염려가 없고, 상기 DDoS 장비(1)에 문제가 발생해도 고객 서버(2)는 정상적인 동작을 수행할 수 있다는 장점이 있다. 하지만, 패킷들을 샘플링하여 검사함으로써 DDoS 공격을 탐지하지 못할 위험이 있고, 다수 장비를 이용하게 됨으로써 비용이 추가되며 장비의 위치 즉, 태핑 위치에 따라 탐지효과가 상이하다는 문제점이 있다.
이러한 DDoS 대응은 고객 측 사이트(영역)에서 도 1에 도시된 바와 같이 DDoS 장비를 구축함으로써 수행될 뿐만 아니라, ISP 시스템에서도 수행된다. 이는 ISP 시스템의 인프라 스트럭쳐(DNS, 라우터 등) 역시 DDoS의 공격 대상이 되기 때문이다. ISP의 DDoS 대응방식은 도 2에 도시된 바와 같이 소정의 거점(또는 네트워크 경로 상)에 센서들을 설치하고, 설치된 센서를 통하여 패킷들을 샘플링하며 샘플링된 패킷을 탐지 시스템(10)이 소정의 방식으로 검사하여 DDoS를 탐지하는 아웃오브 패스 방식을 채택하고 있다. 그리고 DDoS 공격이 탐지되면 소정의 매니저 시스템(20)이 상기 ISP의 망에 포함된 적어도 하나의 라우터(40, 40-1 등)을 제어하여 공격 패킷을 소정의 차단 시스템(30)으로 리디렉션하는 역할을 수행한다. 예컨대, 공격 호스트들(50)로부터 소정의 고객 서버(예컨대, B 사이트의 서버)가 DDoS 공격을 받게 되는 경우, 이러한 DDoS 공격이 상기 탐지 시스템(10)에 의해 탐지되면 상기 매니저 시스템(20)은 상기 DDoS 공격에 이용되는 공격 패킷을 상기 적어도 하나의 라우터(40, 40-1)를 제어하여 상기 차단 시스템(30)으로 리디렉션할 수 있다. 상기 차단 시스템(30)은 상기 공격 패킷을 드랍(drop)하거나 일정 시간 지연하여 DDoS 공격이 효과적이지 못하도록 한 후에 상기 고객 서버로 전송하는 등 다양한 방식을 통해 DDoS 공격이 효력을 발휘하지 못하도록 하는 기능을 수행할 수 있다. 하지만, 이러한 ISP의 DDoS 방식 역시 전술한 바와 같이 아웃오브패스 방식의 단점을 그대로 가지고 있으며, 또한 상기 탐지 시스템(10)은 ISP의 전체 망을 모두 모니터링하지 못하므로 DDoS 공격을 탐지하지 못할 수 있는 위험이 존재하게 된다. 또한, 다수의 공격 호스트들이 DDoS 공격에 이용되고, 상기 다수의 공격 호스트들이 정상적인 패킷을 낮은 대역폭(low bandwidth)을 이용하여 전송하는 경우에는 DDoS 탐지가 어렵다는 문제점이 있다.
따라서, 본 발명이 이루고자 하는 기술적인 과제는 고객별 또는 사이트별로 구비되어 서비스를 제공하는 DDoS 장비와 ISP의 DDoS 시스템(예컨대, 탐지 시스템, 매니저 시스템, 및 차단 시스템)이 연동하여 DDoS 공격을 효과적으로 탐지하고 이를 통해 DDoS 공격을 효과적으로 차단할 수 있는 시스템 및 방법을 제공하는 것이다.
상기 기술적 과제를 해결하기 위한 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 시스템은 복수의 공격 호스트들로부터 고객 서버로 유입될 패킷들 중 적어도 일부를 확인하여 DDoS(Distributed Denial of Service) 공격 여부를 탐지하기 위한 탐지 모듈 및 상기 탐지 모듈에 의해 DDos 공격을 받는다고 판단된 경우, ISP(Internet Service Provider)의 매니저 시스템으로 제어신호를 전송하기 위한 제어모듈을 포함하며, 상기 매니저 시스템은 수신된 상기 제어신호에 기초하여 상기 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 적어도 하나의 네트워크 장치를 제어한다.
상기 제어신호는 상기 복수의 공격 호스트들 중 적어도 하나의 IP, 포트정보, 프로토콜 정보 중 적어도 하나를 포함하며, 상기 매니저 시스템은 상기 복수의 공격 호스트들 중 적어도 하나의 IP, 포트정보, 프로토콜 정보 중 적어도 하나를 포함하는 패킷을 상기 고객 서버로 유입되지 않도록 적어도 하나의 라우터(router)를 제어할 수 있다.
상기 탐지모듈은 상기 고객 서버로 유입될 패킷들을 모니터링하여 미리 설정된 세션(session) 설정 값 이상의 세션이 요청되거나, 미리 설정된 PPS(Packet Per Second) 또는 BPS(Bit Per Second) 이상의 값이 모니터링되는 경우, DDoS 공격이라고 판단하는 것을 특징으로 할 수 있다.
상기 하이브리드 DDoS 차단 시스템은 상기 고객 서버로 유입되는 모든 패킷들이 경유하도록 인라인 방식으로 설치되는 것을 특징으로 할 수 있다.
상기 기술적 과제를 해결하기 위한 하이브리드 DDoS 차단 시스템은 고객 서버로 유입되는 모든 패킷들이 경유하도록 구비되는 DDoS 장비로부터 소정의 제어신호를 수신하기 위한 수신부 및 상기 수신모듈에 의해 수신된 상기 제어신호에 포함된 정보를 이용하여 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 적어도 하나의 네트워크 장치를 제어하기 위한 제어부를 포함하며, 상기 DDoS 장비는 상기 고객 서버로 유입되는 패킷들을 모니터링하여 DDoS 공격이라고 판단한 경우 상기 제어신호를 출력한다.
상기 하이브리드 DDoS 차단 시스템은 상기 공격 패킷 중 적어도 일부가 상기 DDoS 장비까지 도달하지 못하도록 적어도 하나의 라우터를 제어할 수 있다.
상기 하이브리드 DDoS 차단 시스템은 BGP(Border Gateway Protocol)를 이용하여 상기 공격 패킷을 소정의 차단 시스템으로 리디렉션(redirection) 하도록 상기 적어도 하나의 라우터를 제어하거나, 상기 공격 패킷이 상기 적어도 하나의 라우터를 통과하지 못하도록 상기 적어도 하나의 라우터를 제어할 수 있다.
상기 기술적 과제를 해결하기 위한 하이브리드 DDoS 차단 시스템은 고객 서버로 유입되는 모든 패킷들이 경유하도록 구비되며, 상기 패킷들을 모니터링하여 DDoS 공격여부를 판단할 수 있는 DDoS 장비 및 상기 DDoS 장비에 의해 DDoS 공격이라고 판단된 경우, 상기 DDoS 장비로부터 수신되는 제어신호에 기초하여 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 적어도 하나의 라우터(router)를 제어하기 위한 매니저 시스템을 포함한다.
상기 기술적 과제를 해결하기 위한 하이브리드 DDoS 차단 방법은 하이브리드 DDoS 차단 시스템이 복수의 공격 호스트들로부터 고객 서버로 유입될 패킷들 중 적어도 일부를 확인하여 DDoS(Distributed Denial of Service) 공격 여부를 탐지하는 단계, 탐지결과 DDos 공격이라고 판단된 경우, ISP(Internet Service Provider)의 매니저 시스템으로 제어신호를 전송하는 단계를 포함하며, 상기 매니저 시스템은 수신된 상기 제어신호에 기초하여 상기 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 적어도 하나의 네트워크 장치를 제어한다.
상기 기술적 과제를 해결하기 위한 하이브리드 DDoS 차단 방법은 하이브리드 DDoS 차단 시스템이 고객 서버로 유입되는 모든 패킷들이 경유하도록 구비되는 DDoS 장비로부터 소정의 제어신호를 수신하는 단계 및 상기 하이브리드 DDoS 차단 시스템이 수신된 상기 제어신호에 포함된 정보를 이용하여 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 적어도 하나의 네트워크 장치를 제어하는 단계를 포함하며, 상기 DDoS 장비는 상기 고객 서버로 유입되는 패킷들을 모니터링하여 DDoS 공격이라고 판단한 경우 상기 제어신호를 출력하는 것을 특징으로 한다.
상기 하이브리드 DDoS 차단 시스템이 수신된 상기 제어신호에 포함된 정보를 이용하여 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 적어도 하나의 네트워크 장치를 제어하는 단계는 상기 하이브리드 DDoS 차단 시스템이 BGP(Border Gateway Protocol)를 이용하여 상기 공격 패킷을 소정의 차단 시스템으로 리디렉션(redirection) 하도록 상기 적어도 하나의 라우터를 제어하는 단계 또는 상기 공격 패킷이 상기 적어도 하나의 라우터를 통과하지 못하도록 상기 적어도 하나의 라우터를 제어하는 단계 중 어느 하나의 단계를 포함한다. 상기 하이브리드 DDoS 차단 방법은 프로그램을 기록한 컴퓨터 판독가능한 기록매체에 저장될 수 있다.
본 발명의 기술적 사상에 따르면 고객 측에 설치되는 DDoS 장비와 ISP에서 운영되는 DDoS 시스템이 연동되어 DDoS의 탐지는 고객 측에 설치된 DDoS 장비를 통하여 수행되고, DDoS 공격의 차단은 ISP의 DDoS 시스템에서 수행될 수 있으므로 효과적인 DDoS 공격의 탐지와 사전적인 DDoS 공격의 차단이 가능한 효과가 있다.
또한, DDoS 공격의 탐지는 탐지 성능이 뛰어난 인라인 방식으로 고객 사이트별로 수행될 수 있으며, 이때 인라인 방식으로 설치되는 DDoS 장비가 공격받는 위험은 상기 DDoS 시스템에서 공격 패킷의 사전적인 차단을 통해 현저하게 줄일 수 있는 효과가 있어서, DDoS 공격의 탐지 성능과 차단 성능이 모두 뛰어난 효과가 있다.
또한, 구현 예에 따라서는 DDoS 시스템 및 DDoS 장비 각각에서의 DDoS 공격의 탐지가 가능하고, DDoS 시스템 및 DDoS 장비 각각에서의 공격 차단이 가능하므로 DDoS 탐지의 이중화 및 차단의 이중화가 가능한 효과가 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 종래의 고객 측 사이트에 설치되는 DDoS 장비를 이용한 DDoS 대응방식을 설명하기 위한 도면이다.
도 2는 ISP가 수행하는 DDoS 대응방식을 설명하기 위한 도면이다.
도 3은 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 방법을 구현하기 위한 개략적인 구성을 설명하기 위한 도면이다.
도 4는 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 방법을 구현하기 위한 DDoS 장비의 개략적인 구성을 나타내는 도면이다.
도 5는 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 방법을 구현하기 위한 매니저 시스템의 개략적인 구성을 나타내는 도면이다.
도 6은 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 방법을 개략적으로 설명하기 위한 플로우 챠트를 나타낸다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시 예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.
또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다.
반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.
도 3은 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 방법을 구현하기 위한 개략적인 구성을 설명하기 위한 도면이다.
도 3을 참조하면, 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 시스템은 DDoS 장비(100)를 구비한다. 상기 하이브리드 DDoS 차단 시스템은 매니저 시스템(200)을 더 포함할 수 있다.
상기 DDoS 장비(100)는 고객의 사이트별 또는 고객 서버(400)별로 구비되어 본 발명의 기술적 사상을 구현할 수 있다. 상기 DDoS 장비(100)는 상기 고객 서버(400)의 앞 단에 설치될 수 있다. 예컨대, 상기 DDoS 장비(100)는 상기 고객 서버(400)와 상기 고객 서버(400) 측으로 패킷을 라우팅하는 라우터 사이에 설치될 수 있다. 상기 DDoS 장비(100)는 상기 고객 서버(400)로 유입되는 패킷들이 경유하도록 구비될 수 있다.
상기 고객 서버(400)는 반드시 어느 하나의 물리적 장치를 의미하는 것은 아니다. 상기 고객 서버(400)는 상기 고객 사이트(예컨대, A site)를 제공하기 위한 복수의 서버들의 집합을 의미할 수도 있다. 상기 DDoS 장비(100)는 고객 사이트별로 또는 상기 고객 서버(400)별로 구비될 수 있다.
일 실시 예에 의하면, 상기 고객 서버(400)로 유입되는 모든 패킷들이 상기 DDoS 장비(100)를 경유하도록 도 3에 도시된 바와 같이 상기 DDoS 장비(100)는 인라인 방식으로 구현될 수 있다. 물론 본 발명의 다른 실시 예에 의하면, 상기 DDoS 장비(100)는 아웃오브패스 방식으로 상기 고객 서버(400)로 유입되는 패킷들을 검사하여 DDoS 공격 여부를 탐지할 수도 있다. 어떠한 경우든 상기 DDoS 장비(100)는 ISP에 의해 운영되는 DDoS 시스템(구체적으로는 상기 매니저 시스템(200))과 소정의 정보를 송수신하여 본 발명의 기술적 사상을 구현할 수 있다.
본 명세서에서는 상기 DDoS 장비(100)는 인라인 방식으로 상기 고객 서버(400)로 유입되는 패킷들을 검사하는 일 예를 설명하기로 한다. 전술한 바와 같이 인라인 방식으로 상기 DDoS 장비(100)가 구현되는 경우에는 패킷들을 전수 검사할 수 있으므로 DDoS 공격의 탐지 성능은 뛰어나지만 상기 DDoS 장비(100) 자체가 공격을 받는 경우, 상기 고객 서버(400) 전체가 다운되는 등 정상적인 서비스를 제공하지 못하는 치명적인 단점이 있다.
하지만, 본 발명의 기술적 사상에 의하면 상기 DDoS 장비(100)로 공격 패킷이 도달하기 전에 사전적으로 ISP에 의해 운영되는 DDoS 시스템에 의해 상기 공격 패킷이 차단될 수 있기 때문에 상기 DDoS 장비(100)가 DDoS 공격을 받는 리스크를 현저히 줄일 수 있다. 따라서, DDoS 탐지 성능이 뛰어난 인라인 방식으로 상기 DDoS 장비(100)가 구현되는 경우에도 안정적인 서비스가 가능한 효과가 있고, 이와 더불어 DDoS 탐지 성능이 우수한 효과 및 단일 장비로 인한 비용이 저렴함은 그대로 가질 수 있는 장점이 있다.
또한, 종래의 ISP의 DDoS 시스템과 같이 고객 서버(400)로 패킷들이 전송되는 중간 경로 상에서 DDoS 공격을 탐지하는 것보다는 상기 DDoS 장비(100)에서 DDoS 공격을 탐지하는 것이 탐지 성능이 훨씬 뛰어난 효과가 있다. 특히, DDoS 공격이 낮은 대역폭(low bandwidth)을 이용하여 상기 고객 서버(400)가 제공하는 특정 웹 애플리케이션을 공격하는 경우에는 상기 ISP가 제공하는 네트워크 망의 특정 경로에서 샘플링을 통해 상기 공격에 사용되는 패킷들을 검출하더라도 정상적인 요청을 판단할 가능성이 커서 DDoS 공격임을 탐지하기 어려운 경우가 존재할 수도 있다. 하지만, 상기 복수의 공격 호스트들(300)에 의해 출력된 공격 패킷들은 결국 상기 DDoS 장비(100)를 경유하게 되므로, 상기 DDoS 장비(100)에서는 이러한 DDoS 공격의 탐지가 가능한 효과가 있다.
구현 예에 따라서는 전술한 바와 같이 ISP의 DDoS 시스템은 종래의 방식대로 DDoS 탐지를 수행할 수 있다. 그리고, 상기 DDoS 장비(100)에 의해서도 DDoS 공격의 탐지가 수행될 수 있다. 즉, 상기 ISP의 DDoS 시스템 및 상기 DDoS 장비가 이중으로 DDoS 공격을 탐지할 수 있다. 이러한 경우, 상기 ISP의 DDoS 시스템에서 상기 고객 서버(400)에 의한 DDoS 공격이 탐지되지 않더라도, 상기 DDoS 장비(100)에 의해서 DDoS 공격이 탐지될 수 있으므로 탐지의 정확도가 상승되는 효과가 있다. 또한, 상기 ISP의 DDoS 시스템에 의해 상기 고객 서버(400)에 의한 DDoS 공격이 탐지되는 경우에는 상기 DDoS 장비(100)로 미리 소정의 정보를 전송하여 상기 DDoS 장비(100)에서 DDoS 공격에 대한 별도의 보안 정책을 수립하거나 보다 강화된 보안 프로트콜을 선택적으로 적용할 수 있는 효과도 있다.
한편, 상기 DDoS 장비(100)가 유입되는 패킷들을 검사하여 DDoS 공격인지 여부를 판단하는 방식은 다양할 수 있다. 일 실시 예에 의하면, 상기 DDoS 장비(100)는 상기 고객 서버(400)가 외부로부터 연결되는 모든 세션(session)을 카운트 및/또는 관리할 수 있다. 이러한 세션 관리를 통해 미리 설정된 세션(session) 설정 값 이상의 세션이 요청되거나 형성되는 경우, 상기 DDoS 장비(100)는 DDoS 공격이라고 판단할 수 있다. 또는, 미리 설정된 PPS(Packet Per Second) 또는 BPS(Bit Per Second) 이상의 값이 모니터링되는 경우, DDoS 공격이라고 판단할 수도 있다. 상기 DDoS 장비(100)가 유입되는 패킷들을 이용하여 DDoS 공격인지 여부를 판단하는 방식은 상기의 방법 외에도 다양한 실시 예가 가능할 수 있다.
이처럼 상기 DDoS 장비(100)가 DDoS 공격을 받는다고 판단한 경우, 종래의 방식에서는 상기 DDoS 장비(100)가 상기 DDoS 공격에 이용되는 패킷 즉, 공격 패킷들을 차단하는 기능을 수행하였다. 즉, 종래에는 상기 DDoS 장비(100)가 DDoS의 탐지 및 차단을 모두 수행하는 기능을 수행하였다.
하지만, 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 시스템에 의하면, 상기 DDoS 장비(100)는 DDoS 공격을 받는다고 판단한 경우, 상기 ISP의 DDoS 시스템 보다 구체적으로는 상기 매니저 시스템(200)에 소정의 제어신호를 전송할 수 있다.
상기 제어신호는 복수의 공격 호스트들(300) 중 적어도 하나의 IP, 포트(port) 정보, 프로토콜 정보 중 적어도 하나를 포함할 수 있다. 이러한 정보는 상기 DDoS 장비(100)가 모니터링하는 패킷들 중 공격 패킷이라고 판단된 패킷의 패킷 정보에서 추출될 수 있다.
그러면, 상기 ISP의 DDoS 시스템은 상기 고객 서버(400)로 상기 제어신호에 상응하는 패킷 즉, 상기 제어신호에 포함된 IP, 포트정보, 및 프로토콜 정보를 포함하는 패킷이 상기 고객 서버로 유입되지 않도록 사전적으로 상기 패킷들을 차단할 수 있다.
이를 위해 상기 DDoS 시스템에 포함된 상기 매니저 시스템(200)은 네트워크 망에 설치된 적어도 하나의 네트워크 장치를 제어하여 상기 제어신호에 포함된 정보 중 적어도 하나를 포함하는 패킷이 상기 고객 서버(400)로 유입되지 않도록 차단할 수 있다. 상기 매니저 시스템(200)이 제어하는 상기 네트워크 장치는 적어도 하나의 라우터(220, 220-1)일 수 있지만, 반드시 이에 한정되지는 않으며 네트워크 망을 구성하는 어떠한 장치들을 제어하더라도 상기 공격 패킷이 상기 고객 서버(400)로 유입되지 않도록만 할 수 있으면 족하다.
일 실시 예에 의하면, 상기 제어신호에 상기 IP, 포트정보, 및 프로토콜 정보가 경우, 상기 매니저 시스템(200)은 상기 제어신호에 포함된 정보가 모두 패킷 메타정보에 포함된 패킷 즉, 상기 IP로부터 상기 포트에서 출력된 상기 프로토콜을 위한 패킷을 차단할 수 있다. 구현 예에 따라선, 상기 IP로부터 출력된 모든 패킷을 차단하도록 구현될 수도 있다. 또는, 상기 IP 및 상기 포트정보에 상응하는 패킷이면 프로토콜과 관계없이 차단될 수도 있다. 어떠한 패킷들을 공격 패킷으로 설정하고, 설정된 공격 패킷을 차단할지 여부는 어떠한 보안정책을 설정하는지에 따라 다양하게 구현될 수 있다.
한편, 상기 ISP의 DDoS 시스템에 포함된 상기 매니저 시스템(200)은 상기 공격 패킷을 차단하기 위해 적어도 하나의 라우터(220, 220-1)를 제어할 수 있다. 즉, 상기 매니저 시스템(200)은 상기 ISP가 네트워크를 구성하기 위해 제공하는 네트워크 장치들을 제어하여 공격 패킷을 제어할 수 있는 모든 형태의 데이터 프로세싱 장치를 의미할 수 있다. 특히, 상기 네트워크를 구성하는 라우터(220, 220-1)들을 제어할 수 있는 모든 형태의 데이터 프로세싱 장치를 포함하는 의미로 정의될 수 있다. 상기 매니저 시스템(200)에 의해 제어되는 적어도 하나의 라우터(220, 220-1)는 상기 공격 패킷이 경유하는 라우터일 수 있다.
상기 매니저 시스템(200)은 상기 적어도 하나의 라우터(220, 220-1)를 제어하여 상기 공격 패킷이 소정의 차단 시스템(210)으로 리디렉션되도록 할 수 있다. 구현 예에 따라서는, 상기 라우터(220, 220-1)가 상기 공격 패킷을 드랍(drop) 즉, 폐기하도록 제어할 수도 있다.
상기 매니저 시스템(200)이 상기 공격 패킷을 리디렉션하기 위해서는 다양한 라우팅 제어방식이 사용될 수 있다. 예컨대, 상기 매니저 시스템(200)은 BGP(Border Gateway Protocol)을 이용한 BGP 리디렉션을 이용할 수도 있다. 또는, 소정의 제어신호를 라우터(220, 220-1)로 전송하거나, 라우팅 테이블을 교체하는 등 다양한 방식으로 상기 공격 패킷을 리디렉션할 수도 있다. 상기 BGP 프로토콜은 대규모 네트워크에서 라우팅 결정을 수행하기 위한 프로토콜로써 널리 공지되어 있으므로 상세한 설명은 생략하도록 한다.
결국, 상기 매니저 시스템(200)은 다양한 라우팅 제어방식을 이용하여 상기 공격 패킷이 상기 차단 시스템(210)으로 리디렉션되도록 할 수 있다.
한편, 상기 차단 시스템(210)은 DDoS 공격에 사용되는 공격 패킷의 처리를 위해 구현되는 시스템일 수 있다. 상기 차단 시스템(210)은 수신되는 공격 패킷을 수신하여 다양한 통계정보들을 생성할 수도 있고, 단순히 폐기할 수도 있다. 또는 상기 공격 패킷을 원래의 타겟(즉, 상기 고객 서버(400))로 전송할 수도 있다. 물론, 이러한 경우에는 상기 고객 서버(400)가 서비스를 디나이얼(denial) 하지 않을 정도로 시간 간격을 두고 상기 공격 패킷을 전송할 수도 있다. 기타 다양한 기능 및 동작이 상기 차단 시스템(210)에 의해 수행될 수 있으며, 어떠한 경우든 상기 차단 시스템(210)으로 리디렉션된 상기 공격 패킷은 DDoS 공격에 참여하지 못하도록 구현될 수 있다.
따라서, 상기 ISP의 DDoS 시스템 즉, 상기 매니저 시스템(200)은 DDoS 공격에 이용되는 공격 패킷이 상기 고객 서버(400)로 유입되지 못하도록 DDoS 공격을 차단하는 기능을 수행할 수 있다. 여기서 상기 공격 패킷이 상기 고객 서버(400)로 유입되지 못하도록 한다고 함은, DDoS 공격에 참여하지 못하도록 상기 차단 시스템(210)에 의해 소정의 방식으로 지연 또는 변조되어 상기 공격 패킷이 전송되는 경우를 포함하는 의미로 정의될 수 있다. 물론, 상기 매니저 시스템(200)은 상기 공격 패킷이 아예 상기 DDoS 장비(100)로 유입되지 못하도록(동일 시점에 또는 일정 시간내에 유입되지 못하도록 하는 경우를 포함함) 함으로써, 상기 DDoS 장비(100) 자체가 DDoS 공격의 대상이 되는 경우를 방지할 수 있는 효과가 있다.
결국, 본 발명의 기술적 사상에 의하면, 상기 DDoS 장비(100)와 상기 DDoS 시스템 즉, 상기 매니저 시스템(200)과의 연동을 통하여, 상기 DDoS 공격의 탐지는 탐지 성능이 뛰어난 상기 DDoS 장비(100)에서 주도적으로 수행되고, 상기 DDoS 공격의 차단은 상기 공격 패킷들이 상기 고객 서버(400)로 동시 또는 일정 시간내에 유입되기 전에 사전적으로 상기 매니저 시스템(200)에 의해 수행될 수 있다. 물론, 상기 매니저 시스템(200)에 의해 차단되지 않는 공격 패킷이 일부 상기 DDoS 장비(100)로 유입되는 경우에는 상기 DDoS 장비(100)에 의해 공격 패킷이 차단될 수도 있고, 이러한 경우에는 DDoS 공격의 차단 역시 이중화되는 효과가 있다.
이러한 기술적 사상을 구현하기 위한 상기 DDoS 장비(100) 및 상기 매니저 시스템(200)의 개략적인 구성은 도 4 및 도 5에 도시된다.
도 4는 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 방법을 구현하기 위한 DDoS 장비의 개략적인 구성을 나타내는 도면이고, 도 5는 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 방법을 구현하기 위한 매니저 시스템의 개략적인 구성을 나타내는 도면이다.
도 4 및 도 5를 참조하면, 상기 DDoS 장비(100)는 제어모듈(110) 및 탐지모듈(120)을 포함한다. 상기 매니저 시스템(200)은 제어부(201) 및 수신부(202)를 포함할 수 있다.
상기 DDoS 장비(100) 및 상기 매니저 시스템(200)은 전술한 바와 같이 본 발명의 기술적 사상을 구현하기 위한 소정의 데이터를 송수신할 수 있다.
본 명세서에서 '~모듈' 또는 '~부'이라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 모듈은 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스(resource)의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다.
상기 DDoS 장비(100) 및/또는 상기 매니저 시스템(200)은 본 발명의 기술적 사상을 구현하기 위해 필요한 하드웨어 리소스(resource) 및/또는 소프트웨어를 구비할 수 있으며, 반드시 하나의 물리적인 구성요소를 의미하거나 하나의 장치를 의미하는 것은 아니다. 즉, 상기 DDoS 장비(100) 및/또는 상기 매니저 시스템(200)는 본 발명의 기술적 사상을 구현하기 위해 구비되는 하드웨어 및/또는 소프트웨어의 논리적인 결합을 의미할 수 있으며, 필요한 경우에는 서로 이격된 장치에 설치되어 각각의 기능을 수행함으로써 본 발명의 기술적 사상을 구현하기 위한 논리적인 구성들의 집합으로 구현될 수도 있다. 또한, 상기 DDoS 장비(100) 및/또는 상기 매니저 시스템(200)는 본 발명의 기술적 사상을 구현하기 위한 각각의 기능 또는 역할별로 별도로 구현되는 구성들의 집합을 의미할 수도 있다.
예컨대, 본 명세서에서 정의되는 상기 DDoS 장비(100)는 DDoS 공격을 탐지하기 위한 탐지모듈(120)과 소정의 제어신호를 상기 매니저 시스템(200)으로 출력하는 상기 제어모듈(110)이 각각의 서로 다른 물리적 장치로 구비될 수도 있다. 또한, 상기 매니저 시스템(200) 역시 상기 제어신호를 수신하기 위한 수신부(202) 및 상기 제어부(201)가 각각 서로 다른 물리적 장치로 분산되어 구현될 수 있으며, 복수의 물리적 장치가 유무선 네트워크를 통해 유기적으로 결합되어 본 발명의 기술적 사상을 구현할 수도 있다.
상기 DDoS 장비(100)에 포함된 상기 제어모듈(110)은 상기 DDoS 장비(100)에 포함된 하드웨어 및/또는 소프트웨어 리소스를 제어할 수 있다.
상기 탐지모듈(120)은 상기 복수의 공격 호스트들(300)로부터 상기 고객 서버(400)로 유입될 패킷들 중 적어도 일부를 확인하여 DDoS 공격 여부를 탐지할 수 있다. 상기 탐지모듈(120)이 DDoS 공격 여부를 탐지하는 방식은 다양할 수 있음은 전술한 바와 같다. 또한, 상기 탐지모듈(120)은 상기 DDoS 장비(100)가 인라인 방식으로 구현되는 경우에는 유입되는 패킷들 모두를 모니터링할 수 있다. 물론, 아웃오프패스 방식으로 구현되는 경우에는 일부만 샘플링하여 모니터링할 수도 있다.
그러면, 상기 제어모듈(110)은 상기 탐지 모듈(120)에 의해 DDos 공격이라고 판단된 경우, ISP의 매니저 시스템(200)으로 제어신호를 전송할 수 있다. 상기 제어신호에는 전술한 바와 같이 상기 복수의 공격 호스트들(300)의 IP, 포트, 및/또는 프로토콜에 대한 정보가 포함될 수 있다.
본 발명의 또 다른 실시 예에 의하면, 상기 DDoS 장비(100)에는 소정의 방화벽(Firewall), VPN(Virtual Private Network), IPS(Intrusion Prevention System) 기능들이 추가로 구비될 수 있다. 따라서, 상기 방화벽, VPN, IPS 시스템들이 별도로 상기 고객 서버(400)의 앞단에 설치되는 번거로움을 줄일 수 있는 효과도 있으며, 한층 강화된 보안 프로토콜이 상기 DDoS 장비(100)에 의해 제공될 수 있는 효과가 있다.
상기 제어부(201) 역시 상기 매니저 시스템(200)에 포함된 하드웨어 및/또는 소프트웨어 리소스를 제어할 수 있다.
상기 수신부(202)는 상기 DDoS 장비(100)로부터 상기 제어신호를 수신할 수 있다. 그러면, 상기 제어부(201)는 수신된 상기 제어신호에 기초하여 상기 적어도 하나의 라우터(220, 220-1)를 제어하고, 이를 통해 공격 패킷이 상기 고객 서버(400) 또는 상기 DDoS 장비(100)로 (적시에) 유입되지 않도록 차단할 수 있다.
도 6은 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 방법을 개략적으로 설명하기 위한 플로우 챠트를 나타낸다.
도 6을 참조하면, 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 방법은 DDoS 장비(100)에 의한 DDoS 공격 탐지(S100, S110) 및 매니저 시스템(200)에 의한 DDoS 공격 차단(S120, S130)으로 간략화될 수 있다.
즉, 상기 DDoS 장비(100)에 의해 상기 고객 서버(400)로 유입될 패킷들이 모니터링될 수 있다(S100). 그리고, 모니터링 결과에 의해 소정의 조건을 만족하는 경우, 상기 DDoS 장비(100)는 DDoS 공격이라고 판단할 수 있다(S110).
만약, DDoS 장비(100)가 DDoS 공격이라고 판단한 경우, 상기 DDoS 장비(100)는 소정의 제어신호를 매니저 시스템(200)으로 출력할 수 있다(S120). 그리고 상기 매니저 시스템(200)에 의해 상기 공격 패킷이 사전적으로 제어(차단 또는 리디렉션 등)될 수 있다(S130).
이러한 본 발명의 실시 예에 따른 하이브리드 DDoS 차단 방법에 의하면, 탐지 성능이 뛰어난 DDoS 장비(100)에 의한 탐지 및 탐지가 되면 상기 DDoS 장비(100)의 네트워크 경로 상 앞단에서의 사전적인 공격 차단이 가능한 효과가 있다. 또한, 전술한 바와 같이 상기 DDoS 장비(100)가 공격 패킷의 차단을 수행하고, 상기 ISP의 DDoS 시스템에서 탐지를 수행하는 경우에는 DDoS 공격의 탐지 및 차단 각각의 이중화가 가능한 효과가 있다.
또한, ISP의 입장에서는 DDoS 탐지를 위해 많은 센서 등을 설치하여 DDoS 탐지 시스템을 구비할 필요가 없고, DDoS 탐지의 커버리지를 적은 비용으로 확장할 수 있는 효과가 있다. 또한, 고객 서버(400) 즉, 사이트 운영 측면에서는 단일 장비를 이용하여서도 DDoS 공격에 안전한 효과가 있으며, 인라인 방식으로 장비가 구비되는 경우에도 상기 장비 자체가 공격받는 위험을 예방할 수 있는 효과가 있다.
본 발명의 실시 예에 따른 하이브리드 DDoS 차단 방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (12)

  1. 하이브리드 DDoS 차단 시스템에 있어서,
    상기 하이브리드 DDoS 차단 시스템은,
    복수의 공격 호스트들로부터 고객 서버로 유입될 패킷들 중 적어도 일부를 확인하여 DDoS(Distributed Denial of Service) 공격 여부를 탐지하기 위한 탐지 모듈; 및
    상기 탐지 모듈에 의해 DDos 공격을 받는다고 판단된 경우, ISP(Internet Service Provider)의 매니저 시스템으로 제어신호를 전송하기 위한 제어모듈을 포함하며,
    상기 매니저 시스템은,
    수신된 상기 제어신호에 기초하여 상기 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 상기 ISP에 의해 제공되는 적어도 하나의 네트워크 장치를 제어하는 하이브리드 DDoS 차단 시스템.
  2. 제 1항에 있어서, 상기 제어신호는,
    상기 복수의 공격 호스트들 중 적어도 하나의 IP, 포트정보, 프로토콜 정보 중 적어도 하나를 포함하며,
    상기 매니저 시스템은,
    상기 복수의 공격 호스트들 중 적어도 하나의 IP, 포트정보, 프로토콜 정보 중 적어도 하나를 포함하는 패킷을 상기 고객 서버로 유입되지 않도록 적어도 하나의 라우터(router)를 제어하는 하이브리드 DDoS 차단 시스템.
  3. 제 1항에 있어서, 상기 탐지모듈은,
    상기 고객 서버로 유입될 패킷들을 모니터링하여 미리 설정된 세션(session) 설정 값 이상의 세션이 요청되거나, 미리 설정된 PPS(Packet Per Second) 또는 BPS(Bit Per Second) 이상의 값이 모니터링되는 경우, DDoS 공격이라고 판단하는 것을 특징으로 하는 하이브리드 DDoS 차단 시스템.
  4. 제 1항에 있어서, 상기 하이브리드 DDoS 차단 시스템은,
    상기 고객 서버로 유입되는 모든 패킷들이 경유하도록 인라인 방식으로 설치되는 것을 특징으로 하는 하이브리드 DDoS 차단 시스템.
  5. 고객 서버로 유입되는 모든 패킷들이 경유하도록 구비되는 DDoS 장비로부터 소정의 제어신호를 수신하기 위한 수신부; 및
    상기 수신부에 의해 수신된 상기 제어신호에 포함된 정보를 이용하여 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 ISP에 의해 제공되는 적어도 하나의 네트워크 장치를 제어하기 위한 제어부를 포함하며,
    상기 DDoS 장비는 상기 고객 서버로 유입되는 패킷들을 모니터링하여 DDoS 공격이라고 판단한 경우 상기 제어신호를 출력하는 하이브리드 DDoS 차단 시스템.
  6. 제 5항에 있어서, 상기 하이브리드 DDoS 차단 시스템은,
    상기 공격 패킷 중 적어도 일부가 상기 DDoS 장비까지 도달하지 못하도록 적어도 하나의 라우터를 제어하는 하이브리드 DDoS 차단 시스템.
  7. 제 5항에 있어서, 상기 하이브리드 DDoS 차단 시스템은,
    BGP(Border Gateway Protocol)를 이용하여 상기 공격 패킷을 소정의 차단 시스템으로 리디렉션(redirection) 하도록 상기 적어도 하나의 라우터를 제어하거나,
    상기 공격 패킷이 상기 적어도 하나의 라우터를 통과하지 못하도록 상기 적어도 하나의 라우터를 제어하는 하이브리드 DDoS 차단 시스템.
  8. 고객 서버로 유입되는 모든 패킷들이 경유하도록 구비되며, 상기 패킷들을 모니터링하여 DDoS 공격여부를 판단할 수 있는 DDoS 장비; 및
    상기 DDoS 장비에 의해 DDoS 공격이라고 판단된 경우, 상기 DDoS 장비로부터 수신되는 제어신호에 기초하여 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 ISP에 의해 제공되는 적어도 하나의 네트워크 장치를 제어하기 위한 매니저 시스템을 포함하는 하이브리드 DDoS 차단 시스템.
  9. 하이브리드 DDoS 차단 시스템이 복수의 공격 호스트들로부터 고객 서버로 유입될 패킷들 중 적어도 일부를 확인하여 DDoS(Distributed Denial of Service) 공격 여부를 탐지하는 단계;
    탐지결과 DDos 공격이라고 판단된 경우, ISP(Internet Service Provider)의 매니저 시스템으로 제어신호를 전송하는 단계를 포함하며,
    상기 매니저 시스템은,
    수신된 상기 제어신호에 기초하여 상기 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 상기 ISP에 의해 제공되는 적어도 하나의 네트워크 장치를 제어하는 DDoS 차단 방법.
  10. 하이브리드 DDoS 차단 시스템이 고객 서버로 유입되는 모든 패킷들이 경유하도록 구비되는 DDoS 장비로부터 소정의 제어신호를 수신하는 단계; 및
    상기 하이브리드 DDoS 차단 시스템이 수신된 상기 제어신호에 포함된 정보를 이용하여 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 ISP에 의해 제공되는 적어도 하나의 네트워크 장치를 제어하는 단계를 포함하며,
    상기 DDoS 장비는 상기 고객 서버로 유입되는 패킷들을 모니터링하여 DDoS 공격이라고 판단한 경우 상기 제어신호를 출력하는 것을 특징으로 하는 하이브리드 DDoS 차단 방법.
  11. 제 10항에 있어서, 상기 하이브리드 DDoS 차단 시스템이 수신된 상기 제어신호에 포함된 정보를 이용하여 복수의 공격 호스트들 중 적어도 하나로부터 상기 고객 서버로 출력된 공격 패킷이 상기 고객 서버로 유입되지 않도록 상기 ISP에 의해 제공되는 적어도 하나의 네트워크 장치를 제어하는 단계는,
    상기 하이브리드 DDoS 차단 시스템이 BGP(Border Gateway Protocol)를 이용하여 상기 공격 패킷을 소정의 차단 시스템으로 리디렉션(redirection) 하도록 적어도 하나의 라우터를 제어하는 단계; 또는
    상기 공격 패킷이 상기 적어도 하나의 라우터를 통과하지 못하도록 상기 적어도 하나의 라우터를 제어하는 단계 중 어느 하나의 단계를 포함하는 하이브리드 DDoS 차단 방법.
  12. 제 9항 내지 제 11항 중 어느 한 항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터 판독가능한 기록매체.
KR1020110124143A 2011-11-25 2011-11-25 하이브리드 DDoS 차단 시스템 및 그 방법 KR101147483B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110124143A KR101147483B1 (ko) 2011-11-25 2011-11-25 하이브리드 DDoS 차단 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110124143A KR101147483B1 (ko) 2011-11-25 2011-11-25 하이브리드 DDoS 차단 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR101147483B1 true KR101147483B1 (ko) 2012-05-22

Family

ID=46272339

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110124143A KR101147483B1 (ko) 2011-11-25 2011-11-25 하이브리드 DDoS 차단 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101147483B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101336066B1 (ko) * 2013-03-28 2013-12-03 주식회사 아이티스테이션 보안 강화를 위한 소프트웨어 배포 관리 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100789722B1 (ko) * 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법
KR100973076B1 (ko) * 2009-08-28 2010-07-29 (주)넷코아테크 분산 서비스 거부 공격 대응 시스템 및 그 방법
KR20110049282A (ko) * 2009-11-04 2011-05-12 주식회사 컴트루테크놀로지 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
KR20110080971A (ko) * 2010-01-07 2011-07-13 (주)이지엠소프트 서비스 거부 공격 방지 방법 및 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100789722B1 (ko) * 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법
KR100973076B1 (ko) * 2009-08-28 2010-07-29 (주)넷코아테크 분산 서비스 거부 공격 대응 시스템 및 그 방법
KR20110049282A (ko) * 2009-11-04 2011-05-12 주식회사 컴트루테크놀로지 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
KR20110080971A (ko) * 2010-01-07 2011-07-13 (주)이지엠소프트 서비스 거부 공격 방지 방법 및 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101336066B1 (ko) * 2013-03-28 2013-12-03 주식회사 아이티스테이션 보안 강화를 위한 소프트웨어 배포 관리 장치

Similar Documents

Publication Publication Date Title
Eliyan et al. DoS and DDoS attacks in Software Defined Networks: A survey of existing solutions and research challenges
EP3178216B1 (en) Data center architecture that supports attack detection and mitigation
Sahay et al. ArOMA: An SDN based autonomic DDoS mitigation framework
Sahay et al. Towards autonomic DDoS mitigation using software defined networking
US8484372B1 (en) Distributed filtering for networks
KR100796996B1 (ko) 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
US7467408B1 (en) Method and apparatus for capturing and filtering datagrams for network security monitoring
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US20040148520A1 (en) Mitigating denial of service attacks
US20150089566A1 (en) Escalation security method for use in software defined networks
US20030009699A1 (en) Method and apparatus for detecting intrusions on a computer system
Xue et al. Towards detecting target link flooding attack
KR20180041952A (ko) DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
KR101615045B1 (ko) 지능형 보안 네트워킹 시스템 및 그 방법
US20090094691A1 (en) Intranet client protection service
US20040250158A1 (en) System and method for protecting an IP transmission network against the denial of service attacks
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
Bera et al. Denial of service attack in software defined network
JP2006067078A (ja) ネットワークシステムおよび攻撃防御方法
KR101147483B1 (ko) 하이브리드 DDoS 차단 시스템 및 그 방법
KR101772292B1 (ko) 소프트웨어 정의 네트워크 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템
Chatterjee Design and development of a framework to mitigate dos/ddos attacks using iptables firewall
KR102162991B1 (ko) Idc용 통합 보안 라우터 및 트래픽 쉐이핑과 ips의 융합 구현 기반의 통합 보안 서비스 방법
KR101231801B1 (ko) 네트워크 상의 응용 계층 보호 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150507

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160511

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170512

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180510

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190424

Year of fee payment: 8