KR101285769B1 - 세션 개시 프로토콜의 invite 스푸핑 공격을 차단하기 위한 방법 및 장치 - Google Patents

세션 개시 프로토콜의 invite 스푸핑 공격을 차단하기 위한 방법 및 장치 Download PDF

Info

Publication number
KR101285769B1
KR101285769B1 KR1020110145788A KR20110145788A KR101285769B1 KR 101285769 B1 KR101285769 B1 KR 101285769B1 KR 1020110145788 A KR1020110145788 A KR 1020110145788A KR 20110145788 A KR20110145788 A KR 20110145788A KR 101285769 B1 KR101285769 B1 KR 101285769B1
Authority
KR
South Korea
Prior art keywords
address
message
source
invite
acknowledgment
Prior art date
Application number
KR1020110145788A
Other languages
English (en)
Other versions
KR20130077204A (ko
Inventor
이기홍
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020110145788A priority Critical patent/KR101285769B1/ko
Publication of KR20130077204A publication Critical patent/KR20130077204A/ko
Application granted granted Critical
Publication of KR101285769B1 publication Critical patent/KR101285769B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/72Routing based on the source address
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

세션 개시 프로토콜의 INVITE 스푸핑(spoofing) 공격을 차단하기 위한 방법 및 장치가 개시된다. 상기 방법은 세션 개시를 요청하는 INVITE 메시지를 수신하는 단계; 상기 INVITE 메시지의 출발지 IP 주소가 메모리에 존재하는지 검색하는 단계; 상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리에 존재하지 않는 경우, 상기 출발지 IP 주소를 버퍼에 임시 저장하는 단계; 상기 임시 저장된 출발지 IP 주소로 확인 응답 요청 메시지를 전송하는 단계; 상기 확인 응답 요청 메시지의 전송에 응답하여, 확인 응답 메시지를 수신하는 단계; 상기 임시 저장된 출발지 IP 주소 및 상기 확인 응답 메시지의 출발지 IP 주소를 비교하는 단계; 및 상기 임시 저장된 출발지 IP 주소 및 상기 확인 응답 메시지의 출발지 IP 주소가 동일한 경우, 상기 임시 저장된 출발지 IP 주소를 상기 메모리에 저장하는 단계를 포함할 수 있다.
본 발명은 INVITE 메시지의 수신 시, 확인 응답 요청 메시지를 이용하여 INVITE 메시지의 출발지 IP 주소의 위조 여부를 확인할 수 있다. 이를 통해 출발지 IP 주소가 위조된 INVITE 메시지를 효과적으로 차단할 수 있어, 스푸핑 공격, 나아가 플러딩 공격으로부터 네트워크 또는 서버를 안전하게 보호할 수 있다.

Description

세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 방법 및 장치{METHOD AND APPARATUS FOR DEFENDING AGAINST INVITE SPOOFING ATTACK IN SESSION INITIATION PROTOCOL}
본 발명은 세션 개시 프로토콜의 네트워크 보안 기술에 관한 것으로, 보다 구체적으로는 INVITE 메시지를 이용한 IP 스푸핑 공격으로부터 네트워크 또는 서버를 보호하기 위한 기술에 관한 것이다.
세션 개시 프로토콜(session initiation protocol, SIP)의 경우 사용자 데이터그램 프로토콜(user datagram protocol, UDP)을 사용하기 때문에 SIP 스푸핑(spoofing) 공격을 하는 경우 해당 메시지가 정상적인 메시지인지 비정상적인 메시지인지 판단하기가 어렵다. 여기서 스푸핑은 ‘속이기’라는 뜻으로, 외부의 악의적 네트워크 침입자가 임의로 웹사이트를 구성해 일반 사용자들의 방문을 유도, 사용자의 시스템 권한을 획득한 뒤 정보를 빼가는 해킹 수법이다. 이러한 스푸핑에는 IP 스푸핑, DNS 스푸핑, 이메일 스푸핑, APR 스푸핑 등이 있는데, 이 중에서 IP 스푸핑은 목표로 하는 호스트(target host)와 신뢰관계를 맺고 있는 다른 호스트로 공격자의 IP 주소를 속여서 패킷을 보내는 기법을 말한다. SIP에 있어서, 특히 INVITE 메시지를 이용한 IP 스푸핑 공격이 빈번히 이루어진다.
도 1은 SIP INVITE 메시지를 이용하여, 세션을 개시하는 절차를 도시한다. 도시되는 바와 같이, (발신자에 해당하는) 사용자 에이전트(user agent, UA) 1에서 세션의 개시를 요청하는 INVITE 메시지를 프록시 서버로 전송하면, 프록시 서버는 INVITE 메시지를 (수신자에 해당하는) UA2로 포워딩한다. UA2가 INVITE 메시지를 수신하면, 180 ringing 메시지를 프록시 서버로 전송하게 된다. 여기서 180 ringing 메시지는 UA에 의해 INVITE 메시지가 수신되었음을 의미하는 메시지이다. 프록시 서버는 180 ringing 메시지를 다시 UA1으로 포워딩한다. 그리고나서, UA2가 UA1의 세션 개시 요청을 수락하면, UA2는 200 OK 메시지를 프록시 서버를 경유하여 UA1으로 전송하게 된다. 여기서 200 OK 메시지는 UA에 의해 INVITE이 수락되었음을 의미하는 메시지이다. 그리고나서, 200 OK 메시지를 수신한 UA1은 확인응답(ACK) 메시지로 프록시 서버에 응답하고 프록시 서버는 UA2에 ACK를 보내게 되면 세션이 이루어진다.
상기 도시되는 바와 같이, 세션 개시 요청 과정에서 프록시 서버는 UA1 및 UA2 사이의 신호를 중계하는 기능만을 수행하기 때문에, 다른 UA가 INVITE 메시지를 스푸핑하여 프록시 서버로 전송하더라도, 프록시 서버는 스푸핑된 INVITE 메시지를 정상적으로 처리하고 응답하게 된다. 이러한 스푸핑 공격이 플러딩(flooding) 공격으로 이어지는 경우 프록시 서버는 스푸핑된 메시지를 처리하느라 정상적인 UA에 대한 처리를 수행하지 못하게 된다.
이러한 SIP 스푸핑을 차단하기 위한 방법으로서, 종래에 SIP 패킷의 발신지 IP 주소와 메시지를 확인하여 스푸핑되었는지를 판단하는 방법이 있는데, 이러한 방법을 사용할 경우 해당 메시지 전체에 대한 파싱을 수행해야 하며, 때때로 NAT(network address translation) 등을 통해 실제 발신지 IP 주소와 메시지 내의 주소가 상이해지는 경우가 발생할 수 있는데, 이러한 경우 오탐이 발생할 수 있다. 또한, 사전에 등록되어있는 IP 리스트를 이용하여 스푸핑을 판단하는 방법이 있는데, 이러한 방법은 스마트 폰 등을 이용한 모바일 음성 인터넷 프로토콜(mobile VoIP)의 경우 IP 주소가 변경될 수 있는데 IP 리스트를 이러한 변경된 상황에 따라 동적으로 반영하는데 한계가 있으며, IP 리스트에 등록되어있는 IP로 스푸핑 공격을 하는 경우 스푸핑 여부를 판단하기 힘들다.
따라서, SIP에서 스푸핑 공격에 의해 출발지 IP 주소가 위조된 INVITE 메시지를 효과적으로 차단하기 위한 기술이 요구된다.
본 발명은 상기 문제점들을 해결하기 위한 것으로서, INVITE 메시지의 출발지 IP 주소의 위조 여부를 확인함으로써, 네트워크 또는 서버를 스푸핑 공격, 나아가 플러딩 공격으로부터 보호하는데 그 목적이 있다.
본 발명의 실시예에 따라, 세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 방법이 개시된다. 상기 방법은 세션 개시를 요청하는 INVITE 메시지를 수신하는 단계; 상기 INVITE 메시지의 출발지 IP 주소가 메모리에 존재하는지 검색하는 단계; 상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리에 존재하지 않는 경우, 상기 출발지 IP 주소를 버퍼에 임시 저장하는 단계; 상기 임시 저장된 출발지 IP 주소로 확인 응답 요청 메시지를 전송하는 단계; 상기 확인 응답 요청 메시지의 전송에 응답하여, 확인 응답 메시지를 수신하는 단계; 상기 임시 저장된 출발지 IP 주소 및 상기 확인 응답 메시지의 출발지 IP 주소를 비교하는 단계; 및 상기 임시 저장된 출발지 IP 주소 및 상기 확인 응답 메시지의 출발지 IP 주소가 동일한 경우, 상기 임시 저장된 출발지 IP 주소를 상기 메모리에 저장하는 단계를 포함할 수 있다.
본 발명의 실시예에 따라, 세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 장치가 개시된다. 상기 장치는 세션 개시를 요청하는 INVITE 메시지 또는 확인 응답 요청 메시지의 전송에 응답하여 확인 응답 메시지를 수신하기 위한 수신부; 상기 INVITE 메시지의 출발지 IP 주소가 메모리에 존재하는지 검색하기 위한 검색부; 상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리에 존재하지 않는 경우, 상기 출발지 IP 주소를 임시 저장하기 위한 버퍼; 상기 버퍼에 임시 저장된 출발지 IP 주소로 확인 응답 요청 메시지를 전송하기 위한 송신부; 상기 버퍼에 임시 저장된 출발지 IP 주소 및 상기 수신부에 의해 수신된 확인 응답 메시지의 출발지 IP 주소를 비교하기 위한 비교부; 및 상기 버퍼에 임시 저장된 출발지 IP 주소 및 상기 수신부에 의해 수신된 확인 응답 메시지의 출발지 IP 주소가 동일한 경우, 상기 임시 저장된 출발지 IP 주소를 저장하기 위한 메모리를 포함할 수 있다.
본 발명은 출발지 IP 주소가 위조된 INVITE 메시지를 효과적으로 차단할 수 있어, 스푸핑 공격, 나아가 플러딩 공격으로부터 네트워크 또는 서버를 안전하게 보호할 수 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 SIP INVITE 메시지를 이용하여, 세션을 개시하는 절차를 도시한다.
도 2는 본 발명에 따라 세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 방법을 도시한다.
도 3은 본 발명에 따라 세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 장치를 도시한다.
도 4는 본 발명에 따라 INVITE 스푸핑 공격을 차단하는 예시적인 절차를 도시한다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다.
본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 본 발명이 속하는 기술분야의 통상의 지식을 가진 자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 설명함으로써, 본 발명을 상세히 설명하기로 한다.
도 2는 본 발명에 따라 세션 개시 프로토콜(session initiation protocol)의 INVITE 스푸핑(spoofing) 공격을 차단하기 위한 방법(200)을 도시한다. 상기 방법(200)은 다양한 실시예들에 따라 UA 사이에서 패킷을 중계하는 프록시 서버 또는 방화벽과 같은 보안 장비에 의해 수행되거나, 그 이외의 다른 네트워크 엔티티에 의해 수행될 수 있다. 상기 방법(200)은 세션 개시를 요청하는 INVITE 메시지를 수신하는 단계(201); 상기 INVITE 메시지의 출발지 IP 주소가 메모리에 존재하는지 검색하는 단계(202); 상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리에 존재하지 않는 경우, 상기 출발지 IP 주소를 버퍼에 임시 저장하는 단계(203); 상기 임시 저장된 출발지 IP 주소로 확인 응답 요청 메시지를 전송하는 단계(204); 상기 확인 응답 요청 메시지의 전송에 응답하여, 확인 응답 메시지를 수신하는 단계(205); 상기 임시 저장된 출발지 IP 주소 및 상기 확인 응답 메시지의 출발지 IP 주소를 비교하는 단계(206); 및 상기 임시 저장된 출발지 IP 주소 및 상기 확인 응답 메시지의 출발지 IP 주소가 동일한 경우, 상기 임시 저장된 출발지 IP 주소를 상기 메모리에 저장하는 단계(207)를 포함할 수 있다.
먼저, 단계(201)에서, INVITE 메시지를 수신할 수 있다. 여기서 INVITE는 세션 개시 프로토콜에 따라 세션의 개시를 요청하기 위한 메시지이며, 상기 INVITE 메시지의 출발지 IP 주소를 포함할 수 있다.
그 후, 단계(202)에서, 상기 INVITE 메시지의 출발지 IP 주소가 메모리에 존재하는지 검색할 수 있다. 상기 메모리는 하기 더 상세히 설명될 바와 같이, 위조되지 않은 것으로 확인된 출발지 IP 주소를 저장하고 있으며, 따라서 단계(202)는 단계(201)에서 수신된 INVITE 메시지의 출발지 IP 주소가 위조되지 않은 것인지, 즉 스푸핑 공격으로부터 안전한 것인지를 판단할 수 있다.
상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리에 존재하지 않는 경우(단계(202)), 상기 출발지 IP 주소를 버퍼에 임시 저장할 수 있다(단계(203)).
그리고나서, 단계(204)에서, 상기 임시 저장된 출발지 IP 주소로 확인 응답 요청 메시지를 전송할 수 있다. 확인 응답 요청 메시지는 상기 확인 응답 요청 메시지를 수신한 UA로 하여금 임의의 응답 동작을 수행하게 하기 위한 메시지를 의미한다.
일 실시예에서, 상기 확인 응답 요청 메시지는 SIP의 리다이렉션(redirection) 메시지를 포함할 수 있다. SIP의 리다이렉션 메시지는 목적하는 UA의 IP 주소가 변경되는 등의 이유로 메시지를 중계할 수 없을 경우, 이를 통지하여 새로운 IP 주소로 세션이 이루어지게 하기 위한 메시지이다. 예를 들어, 이러한 리다이렉션 메시지는 영구적인 주소 변경을 통지하는 301 MOVED PERMANETLY 메시지, 또는 임시적인 주소 변경을 통지하는 302 MOVED TEMPORARILY 메시지를 포함할 수 있다. 상기 301 MOVED PERMANETLY 메시지 또는 302 MOVED TEMPORARILY 메시지 이외의 리다이렉션 메시지가 이용될 수 있다. 또한, 상기 확인 응답 요청 메시지는 리다이렉션 메시지가 아닌, UA로 하여금 임의의 응답 동작을 수행하게 하기 위한 임의의 메시지를 모두 포함할 수 있다.
계속해서, 상기 임시 저장된 출발지 IP 주소로 확인 응답 요청 메시지를 전송한 경우(단계(204)), 단계(201)에서 수신된 INVITE 메시지가 위조된 것이라면(즉, 정상적인 UA가 INVITE 메시지를 전송한 것이 아니라면), 상기 정상적인 UA는 확인 응답 요청 메시지를 수신하더라도, INVITE 메시지를 전송한 적이 없기 때문에, 상기 확인 응답 요청 메시지에 응답하지 않는다.
반대로, 단계(201)에서 수신된 INVITE 메시지가 위조된 것이 아니라면(즉, 정상적인 UA가 INVITE 메시지를 전송한 것이라면), 상기 정상적인 UA는 단계(204)에서 전송된 확인 응답 요청 메시지를 수신한 후, 이에 응답하여, 확인 응답 메시지를 전송하게 된다.
계속해서, 단계(205)에서, 상기 전송된 확인 응답 메시지를 수신할 수 있다. 확인 응답 메시지를 수신한 후, 상기 임시 저장된 출발지 IP 주소 및 상기 확인 응답 메시지의 출발지 IP 주소를 비교할 수 있다(단계(206)). 이는 단계(205)에서 수신된 확인 응답 메시지가 본 발명에 따라 스푸핑 공격 여부를 판단하는데 이용되는 확인 응답 메시지인지, 다른 목적으로 이용되는 확인 응답 메시지인지를 구분하기 위한 것이다. 한편, 단계(201)에서 수신된 INVITE 메시지가 위조된 것이라면, 확인 응답 메시지를 수신하지 못하며, 이를 통해 INVITE 메시지가 스푸핑 공격에 의한 것이라고 판단할 수 있다.
계속해서, 단계(207)에서, 상기 임시 저장된 출발지 IP 주소 및 상기 확인 응답 메시지의 출발지 IP 주소가 동일한 경우, 상기 임시 저장된 출발지 IP 주소를 상기 메모리에 저장할 수 있다. 상기 메모리에 저장된 IP 주소는 스푸핑 공격에 의해 위조되지 않은 것으로 확인된 (즉, 정상적인) IP 주소에 해당하므로, 이후 동일한 IP 주소를 가진 UA로부터 발신되는 신호는 차단하지 않고 정상적으로 처리 및 응답하게 된다.
일 실시예에서, 상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리에 존재하는 경우(단계(202)), 상기 INVITE 메시지를 상기 INVITE 메시지의 목적지 IP 어드레스로 포워딩할 수 있다(단계(208)). 즉, 단계(201)에서 INVITE 메시지를 전송했던 UA는 INVITE 메시지 자체에 대해서는 어떠한 응답도 수신하지 못했기 때문에, 다시 INVITE 메시지를 전송하게 되며, 이 경우에는 상기 UA의 IP 주소가 메모리에 저장되어 있으므로, INVITE 메시지를 정상적으로 처리하게 된다. 또한, INVITE 메시지의 출발지 IP 주소의 위조 여부를 확인하여, 상기 IP 주소가 메모리가 저장되고 나면, 이러한 위조 여부를 확인하지 않고도 INVITE 메시지를 정상적으로 처리할 수 있다.
일 실시예에서, 상기 메모리에 저장된 출발지 IP 주소는 일정한 시간이 경과하면 삭제될 수 있다. 정상적인 UA의 IP 주소가 메모리에 저장된 후, 상기 IP 주소를 이용한 스푸핑 공격이 발생하는 경우를 방지하기 위함이다. 예를 들어, 상기 일정한 시간은 1분 이내일 수 있다. 다만, INVITE 메시지를 수신할 때마다, INVITE 메시지의 출발지 IP 주소의 위조 여부를 확인하는 것은 전체적인 자원의 낭비를 초래할 수 있기 때문에, 상기 메모리에 저장된 출발지 IP 주소가 삭제되기 위한 일정한 시간은 더 길어질 수 있다.
도 3은 본 발명에 따라 세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 장치(300)를 도시한다. 상기 장치(300)는 세션 개시를 요청하는 INVITE 메시지 또는 확인 응답 요청 메시지의 전송에 응답하여 확인 응답 메시지를 수신하기 위한 수신부(301); 상기 INVITE 메시지의 출발지 IP 주소가 메모리에 존재하는지 검색하기 위한 검색부(302); 상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리(306)에 존재하지 않는 경우, 상기 출발지 IP 주소를 임시 저장하기 위한 버퍼(303); 상기 버퍼(303)에 임시 저장된 출발지 IP 주소로 확인 응답 요청 메시지를 전송하기 위한 송신부(304); 상기 버퍼(303)에 임시 저장된 출발지 IP 주소 및 상기 수신부(301)에 의해 수신된 확인 응답 메시지의 출발지 IP 주소를 비교하기 위한 비교부(305); 및 상기 버퍼(303)에 임시 저장된 출발지 IP 주소 및 상기 수신부(301)에 의해 수신된 확인 응답 메시지의 출발지 IP 주소가 동일한 경우, 상기 임시 저장된 출발지 IP 주소를 저장하기 위한 메모리(306)를 포함할 수 있다.
일 실시예에서, 상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리(306)에 존재하는 경우, 상기 송신부(304)는 상기 INVITE 메시지를 상기 INVITE 메시지의 목적지 IP 주소로 포워딩한다.
일 실시예에서, 상기 메모리(306)에 저장된 출발지 IP 주소는 일정한 시간이 경과하면 삭제될 수 있다. 예를 들어, 상기 일정한 시간은 1분 이내일 수 있다.
일 실시예에서, 상기 확인 응답 요청 메시지는 SIP의 리다이렉션(redirection) 메시지를 포함할 수 있다. 예를 들어, 이러한 리다이렉션 메시지는 영구적인 주소 변경을 통지하는 301 MOVED PERMANETLY 메시지, 또는 임시적인 주소 변경을 통지하는 302 MOVED TEMPORARILY 메시지를 포함할 수 있다.
상기 장치(300)는 세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 방법(200)을 수행하기 위한 예시적인 실시예에 해당하며, 상기 실시예는 상기 방법을 수행하기 위한 이러한 모든 변형들 또는 수정들을 포함하는 것으로 의도된다.
도 4는 본 발명에 따라 INVITE 스푸핑 공격을 차단하는 예시적인 절차를 도시한다. 상기 절차는 UA1이 프록시 서버를 경유하여 UA2에 대해 세션의 개시를 요청하기 위한 절차이며, 설명의 편의를 위해 UA2를 생략한다. 또한, 본 발명에 따라 INVITE 스푸핑 공격을 차단하기 위해 프록시 서버의 전단에 위치하는 별개의 보안 장비가 이용된다. 별개의 보안 장비가 이용되는 것으로 예시하였지만, 본 발명의 실시예들에 따라, 프록시 서버 또는 다른 네트워크 컴포넌트가 이용될 수 있다.
먼저, UA1이 세션 개시를 요청하는 INVITE 메시지를 UA2로 전송할 수 있다. 상기 INVITE 메시지는 UA2 및 프록시 서버로 전송되기 전에, 먼저 보안 장비에 의해 수신된다. 보안 장비는 상기 수신된 INVITE 메시지의 출발지 IP 주소가 메모리에 존재하는지 검색할 수 있다. 상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리에 존재하는 경우, 상기 INVITE 메시지의 출발지 IP 주소는 위조되지 않은 것으로 이미 확인된 것이므로, 상기 INVITE 메시지를 상기 INVITE 메시지를 프록시 서버로 포워딩할 수 있다. 그러나, 상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리에 존재하지 않는 경우, 상기 INVITE 메시지의 출발지 IP 주소의 위조 여부를 확인하기 위해 상기 출발지 IP 주소를 버퍼에 임시 저장할 수 있다. 보안 장비는 상기 임시 저장된 출발지 IP 주소로 확인 응답 요청 메시지를 전송할 수 있다.
보안 장비가 수신한 INVITE 메시지가 위조된 것이라면(즉, 정상적인 UA가 INVITE 메시지를 전송한 것이 아니라면), UA1은 확인 응답 요청 메시지를 수신하더라도, INVITE 메시지를 전송한 적이 없기 때문에, 상기 확인 응답 요청 메시지에 응답하지 않는다. 그러나, 보안 장비가 수신한 INVITE 메시지가 위조된 것이 아니라면(즉, UA1이 정상적으로 INVITE 메시지를 전송한 것이라면), UA1은 상기 확인 응답 요청 메시지를 수신한 후, 이에 대한 확인 응답(ACK) 메시지를 전송하고, 보안 장비는 상기 확인 응답 메시지를 수신할 수 있다.
보안 장비는 상기 임시 저장된 출발지 IP 주소 및 상기 확인 응답 메시지의 출발지 IP 주소를 비교할 수 있다. 이는 보안 장비가 수신한 확인 응답 메시지가 스푸핑 공격 여부를 판단하는데 이용되는 확인 응답 메시지인지, 다른 목적으로 이용되는 확인 응답 메시지인지를 구분하기 위한 것이다. 한편, 수신된 INVITE 메시지가 위조된 것이라면, 확인 응답 메시지를 수신하지 못하며, 이를 통해 INVITE 메시지가 스푸핑 공격에 의한 것이라고 판단할 수 있다.
보안 장비가 상기 임시 저장된 출발지 IP 주소 및 상기 확인 응답 메시지의 출발지 IP 주소가 동일하다고 판단한 경우, 상기 임시 저장된 출발지 IP 주소를 상기 메모리에 저장할 수 있다. 상기 메모리에 저장된 IP 주소는 스푸핑 공격에 의해 위조되지 않은 것으로 확인된 (즉, 정상적인) IP 주소에 해당하므로, 이후 동일한 IP 주소를 가진 UA로부터 발신되는 신호는 차단하지 않고 정상적으로 처리 및 응답하게 된다.
그리고 나서, UA1이 다시 INVITE 메시지를 전송하면, 상기 INVITE 메시지의 출발지 IP 주소는 이미 메모리에 저장되어 있으므로, 상기 INVITE 메시지는 위조되지 않은 것으로 판단한 후, 도 1에서 도시되는 바와 같이 정상적으로 IVITE 메시지를 처리할 수 있다.
본 발명은 INVITE 메시지의 수신 시, 확인 응답 요청 메시지를 이용하여 INVITE 메시지의 출발지 IP 주소의 위조 여부를 확인할 수 있다. 이를 통해 출발지 IP 주소가 위조된 INVITE 메시지를 효과적으로 차단할 수 있어, 스푸핑 공격, 나아가 플러딩 공격으로부터 네트워크 또는 서버를 안전하게 보호할 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시 예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (12)

  1. 세션 개시 프로토콜(session initiation protocol)의 INVITE 스푸핑(spoofing) 공격을 차단하기 위한 방법으로서,
    세션 개시를 요청하는 INVITE 메시지를 수신하는 단계;
    상기 INVITE 메시지의 출발지 IP 주소가 메모리에 존재하는지 검색하는 단계;
    상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리에 존재하지 않는 경우, 상기 출발지 IP 주소를 버퍼에 임시 저장하는 단계;
    상기 임시 저장된 출발지 IP 주소로 확인 응답 요청 메시지를 전송하는 단계;
    상기 확인 응답 요청 메시지의 전송에 응답하여, 확인 응답 메시지를 수신하는 단계;
    상기 임시 저장된 출발지 IP 주소 및 상기 확인 응답 메시지의 출발지 IP 주소를 비교하는 단계; 및
    상기 임시 저장된 출발지 IP 주소 및 상기 확인 응답 메시지의 출발지 IP 주소가 동일한 경우, 상기 임시 저장된 출발지 IP 주소를 상기 메모리에 저장하는 단계를 포함하고,
    상기 확인 응답 요청 메시지는 301 MOVED PERMANETLY 메시지 및 302 MOVED TEMPORARILY 메시지 중 적어도 하나를 포함하는,
    세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 방법.
  2. 제 1 항에 있어서,
    상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리에 존재하는 경우, 상기 INVITE 메시지를 상기 INVITE 메시지의 목적지 IP 어드레스로 포워딩하는 단계를 더 포함하는,
    세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 방법.
  3. 제 1 항에 있어서,
    상기 메모리에 저장된 출발지 IP 주소는 일정한 시간이 경과하면 삭제되는,
    세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 방법.
  4. 제 3 항에 있어서,
    상기 일정한 시간은 1분 이내인,
    세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 방법.
  5. 삭제
  6. 삭제
  7. 세션 개시 프로토콜(session initiation protocol)의 INVITE 스푸핑(spoofing) 공격을 차단하기 위한 장치로서,
    세션 개시를 요청하는 INVITE 메시지 또는 확인 응답 요청 메시지의 전송에 응답하여 확인 응답 메시지를 수신하기 위한 수신부;
    상기 INVITE 메시지의 출발지 IP 주소가 메모리에 존재하는지 검색하기 위한 검색부;
    상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리에 존재하지 않는 경우, 상기 출발지 IP 주소를 임시 저장하기 위한 버퍼;
    상기 버퍼에 임시 저장된 출발지 IP 주소로 확인 응답 요청 메시지를 전송하기 위한 송신부;
    상기 버퍼에 임시 저장된 출발지 IP 주소 및 상기 수신부에 의해 수신된 확인 응답 메시지의 출발지 IP 주소를 비교하기 위한 비교부; 및
    상기 버퍼에 임시 저장된 출발지 IP 주소 및 상기 수신부에 의해 수신된 확인 응답 메시지의 출발지 IP 주소가 동일한 경우, 상기 임시 저장된 출발지 IP 주소를 저장하기 위한 메모리를 포함하고,
    상기 확인 응답 요청 메시지는 301 MOVED PERMANETLY 메시지 및 302 MOVED TEMPORARILY 메시지 중 적어도 하나를 포함하는,
    세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 장치.
  8. 제 7 항에 있어서,
    상기 INVITE 메시지의 출발지 IP 주소가 상기 메모리에 존재하는 경우, 상기 송신부는 상기 INVITE 메시지를 상기 INVITE 메시지의 목적지 IP 주소로 포워딩하는,
    세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 장치.
  9. 제 7 항에 있어서,
    상기 메모리에 저장된 출발지 IP 주소는 일정한 시간이 경과하면 삭제되는,
    세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 장치.
  10. 제 9 항에 있어서,
    상기 일정한 시간은 1분 이내인,
    세션 개시 프로토콜의 INVITE 스푸핑 공격을 차단하기 위한 장치.
  11. 삭제
  12. 삭제
KR1020110145788A 2011-12-29 2011-12-29 세션 개시 프로토콜의 invite 스푸핑 공격을 차단하기 위한 방법 및 장치 KR101285769B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110145788A KR101285769B1 (ko) 2011-12-29 2011-12-29 세션 개시 프로토콜의 invite 스푸핑 공격을 차단하기 위한 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110145788A KR101285769B1 (ko) 2011-12-29 2011-12-29 세션 개시 프로토콜의 invite 스푸핑 공격을 차단하기 위한 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20130077204A KR20130077204A (ko) 2013-07-09
KR101285769B1 true KR101285769B1 (ko) 2013-07-19

Family

ID=48990503

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110145788A KR101285769B1 (ko) 2011-12-29 2011-12-29 세션 개시 프로토콜의 invite 스푸핑 공격을 차단하기 위한 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101285769B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107395550A (zh) * 2016-05-16 2017-11-24 腾讯科技(深圳)有限公司 一种网络攻击的防御方法及服务器

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101686181B1 (ko) * 2015-01-12 2016-12-28 주식회사 엔터플 미리 지정된 url을 이용한 보안 통신 방법 및 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100073527A (ko) * 2008-12-23 2010-07-01 한국인터넷진흥원 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법
KR20100120823A (ko) * 2009-05-07 2010-11-17 충남대학교산학협력단 플로우 데이터를 이용한 VoIP 응용 이상 트래픽 탐지 방법
KR20110087972A (ko) * 2010-01-28 2011-08-03 한남대학교 산학협력단 세션 테이블을 이용한 비정상 트래픽의 차단 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100073527A (ko) * 2008-12-23 2010-07-01 한국인터넷진흥원 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법
KR20100120823A (ko) * 2009-05-07 2010-11-17 충남대학교산학협력단 플로우 데이터를 이용한 VoIP 응용 이상 트래픽 탐지 방법
KR20110087972A (ko) * 2010-01-28 2011-08-03 한남대학교 산학협력단 세션 테이블을 이용한 비정상 트래픽의 차단 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107395550A (zh) * 2016-05-16 2017-11-24 腾讯科技(深圳)有限公司 一种网络攻击的防御方法及服务器

Also Published As

Publication number Publication date
KR20130077204A (ko) 2013-07-09

Similar Documents

Publication Publication Date Title
KR101054705B1 (ko) 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치
Qian et al. Off-path TCP sequence number inference attack-how firewall middleboxes reduce security
Qian et al. Collaborative TCP sequence number inference attack: how to crack sequence number under a second
US9083716B1 (en) System and method for detecting address resolution protocol (ARP) spoofing
US8434141B2 (en) System for preventing normal user being blocked in network address translation (NAT) based web service and method for controlling the same
US20190058731A1 (en) User-side detection and containment of arp spoofing attacks
CN101594269A (zh) 一种异常连接的检测方法、装置及网关设备
CN102655509B (zh) 一种网络攻击识别方法及装置
Kavisankar et al. A mitigation model for TCP SYN flooding with IP spoofing
US10015145B2 (en) Unified source user checking of TCP data packets for network data leakage prevention
CN103747005A (zh) Dns缓存投毒的防护方法和设备
CN106789882A (zh) 一种域名请求攻击的防御方法及系统
US9686311B2 (en) Interdicting undesired service
WO2019096104A1 (zh) 攻击防范
KR101285769B1 (ko) 세션 개시 프로토콜의 invite 스푸핑 공격을 차단하기 위한 방법 및 장치
Zhang et al. Blocking attacks on SIP VoIP proxies caused by external processing
KR101088867B1 (ko) 네트워크 스위치 및 그 네트워크 스위치의 보안공지방법
CN105939315A (zh) 一种http攻击防护方法及装置
CN112511516B (zh) 一种防护攻击的方法及装置
Smyslov Internet Key Exchange Protocol Version 2 (IKEv2) Message Fragmentation
WO2009110327A1 (ja) ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム
KR101728764B1 (ko) 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법
CN114363083B (zh) 智能网关的安全防范方法、装置、设备
Koh et al. A new lightweight protection method against impersonation attack on SIP
KR20180102884A (ko) 방화벽 및 이의 패킷 처리 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160704

Year of fee payment: 4