KR101295299B1 - Method and Apparatus For Defending Against Denial Of Service Attack - Google Patents

Method and Apparatus For Defending Against Denial Of Service Attack Download PDF

Info

Publication number
KR101295299B1
KR101295299B1 KR1020120007643A KR20120007643A KR101295299B1 KR 101295299 B1 KR101295299 B1 KR 101295299B1 KR 1020120007643 A KR1020120007643 A KR 1020120007643A KR 20120007643 A KR20120007643 A KR 20120007643A KR 101295299 B1 KR101295299 B1 KR 101295299B1
Authority
KR
South Korea
Prior art keywords
storage area
packets
syn packets
syn
attack
Prior art date
Application number
KR1020120007643A
Other languages
Korean (ko)
Other versions
KR20130086739A (en
Inventor
서정호
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020120007643A priority Critical patent/KR101295299B1/en
Publication of KR20130086739A publication Critical patent/KR20130086739A/en
Application granted granted Critical
Publication of KR101295299B1 publication Critical patent/KR101295299B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/9084Reactions to storage capacity overflow
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

본 발명은 네트워크 보안 기술에 관한 것으로, 보다 구체적으로는 서비스 거부 공격을 방어하는 방법 및 장치에 관한 것이다. 본 발명의 일실시예에 따른 서비스 거부 공격 방어 방법은 수신된 SYN 패킷들을 제1 저장영역에 저장하여 접속 요청 정보를 관리하는 제1 관리 단계와, 상기 제1 저장영역에서 관리되는 SYN 패킷들 중 제1 기준시간 동안에 동일 발신지로부터 제1 기준개수 이상 수신된 SYN 패킷들을 의심스런 SYN 패킷들로 검출하는 제1 검출 단계와, 및 상기 의심스런 SYN 패킷들을 제2 저장영역으로 옮겨서 접속 요청 정보를 관리하는 제2 관리 단계를 포함한다. 본 발명의 실시예에 따르면 TCP 접속 요청 정보를 저장하는 메모리를 효과적으로 관리하여 서비스 거부 공격을 방어할 수 있다.The present invention relates to network security technology, and more particularly, to a method and apparatus for defending against a denial of service attack. The denial of service attack defense method according to an embodiment of the present invention stores a received SYN packet in a first storage area to manage access request information, and among the SYN packets managed in the first storage area. A first detection step of detecting SYN packets received more than a first reference number from the same source during the first reference time as suspicious SYN packets, and managing the access request information by moving the suspicious SYN packets to a second storage area; And a second management step. According to an embodiment of the present invention, a memory storing TCP connection request information may be effectively managed to prevent a denial of service attack.

Description

서비스 거부 공격을 방어하기 위한 방법 및 장치{Method and Apparatus For Defending Against Denial Of Service Attack}Method and Apparatus For Defending Against Denial Of Service Attack

본 발명은 네트워크 보안 기술에 관한 것으로, 보다 구체적으로는 서비스 거부 공격을 방어하는 방법 및 장치에 관한 것이다.The present invention relates to network security technology, and more particularly, to a method and apparatus for defending against a denial of service attack.

SYN 플러딩(SYN Flooding) 공격은 서버가 정상적으로 서비스를 제공할 수 없게 만드는 일종의 서비스 거부(DOS: Denial of Service) 공격 중의 하나이다. SYN 플러딩 공격은 TCP 세션이 연결될 때의 취약성을 이용한다. 서버와 클라이언트간에 본격적인 통신이 이루어지기 전에 소위 "3 way handshaking"라는 TCP 접속 절차가 수행되어야 한다. 클라이언트가 서버에 접속을 요청하는 SYN 패킷을 보내면 서버는 클라이언트에 SYN/ACK 패킷을 전송하게 된다. 이후 서버는 클라이언트로부터 ACK 패킷을 받기 위한 반쯤 연린 이른바 "Half Open" 상태가 되는데, 일정 시간 후에 ACK를 받지 못하면 해당 연결을 초기화하게 된다. 초기화하기 전까지 이 연결은 메모리 공간인 백로그 큐(Backlog Queue)에 계속 쌓이게 된다. SYN 플러딩 공격은 클라이언트가 ACK를 보내지 않아 결국 서버의 백로그 큐가 가득 차게 되어 더 이상의 연결 요청을 받아들일 수 없게 함으로써 서비스 거부 상태를 초래한다. 이러한 서비스 거부 공격을 효과적으로 방어할 수 있는 방안이 요청된다.SYN Flooding attacks are one of the denial of service (DOS) attacks that cause the server to fail to properly service. SYN flooding exploits a vulnerability when a TCP session is connected. Before full communication can occur between the server and the client, a so-called "3 way handshaking" TCP connection procedure must be performed. When a client sends a SYN packet requesting a connection to a server, the server sends a SYN / ACK packet to the client. After that, the server is half-opened to receive an ACK packet from the client, which is called "Half Open". If the ACK is not received after a certain time, the server initializes the connection. Until initialization, these connections continue to accumulate in the memory backlog queue. A SYN flooding attack results in a denial of service by the client not sending an ACK, resulting in the server's backlog queue becoming full and unable to accept any further connection requests. There is a need for a way to effectively prevent such denial of service attacks.

TCP 접속 요청 정보를 저장하는 메모리를 효과적으로 관리하여 서비스 거부 공격을 방어하는 방법 및 장치를 제공한다.Provides a method and apparatus for preventing denial of service attacks by effectively managing the memory for storing the TCP connection request information.

본 발명의 일실시예에 따른 서비스 거부 공격 방어 방법은 수신된 SYN 패킷들을 제1 저장영역에 저장하여 접속 요청 정보를 관리하는 제1 관리 단계와, 상기 제1 저장영역에서 관리되는 SYN 패킷들 중 제1 기준시간 동안에 동일 발신지로부터 제1 기준개수 이상 수신된 SYN 패킷들을 의심스런 SYN 패킷들로 검출하는 제1 검출 단계와, 및 상기 의심스런 SYN 패킷들을 제2 저장영역으로 옮겨서 접속 요청 정보를 관리하는 제2 관리 단계를 포함한다.The denial of service attack defense method according to an embodiment of the present invention stores a received SYN packet in a first storage area to manage access request information, and among the SYN packets managed in the first storage area. A first detection step of detecting SYN packets received more than a first reference number from the same source during the first reference time as suspicious SYN packets, and managing the access request information by moving the suspicious SYN packets to a second storage area; And a second management step.

본 발명의 다른 실시예에 따른 서비스 거부 공격 방어 장치는 SYN 패킷들을 수신하는 수신부와, 상기 수신된 SYN 패킷들을 저장하는 제1 저장부와, 의심스런 SYN 패킷들을 저장하는 제2 저장부와, 상기 제1 저장부의 SYN 패킷들 중 제1 기준시간 동안에 동일 발신지로부터 제1 기준개수 이상 수신된 SYN 패킷들을 의심스런 SYN 패킷들로 검출하는 제1 검출부, 및 검출된 상기 의심스러운 SYN 패킷들을 제2 저장부로 옮겨서 접속 요청 정보를 관리하는 접속 요청 관리부를 포함한다.The denial of service attack defense apparatus according to another embodiment of the present invention includes a receiver for receiving SYN packets, a first storage for storing the received SYN packets, a second storage for storing suspicious SYN packets, A first detector which detects SYN packets received more than a first reference number from the same source as suspicious SYN packets during a first reference time of the SYN packets of the first storage, and a second storage of the detected suspicious SYN packets; And a connection request management unit for managing the connection request information.

본 발명의 실시예에 따르면 TCP 접속 요청 정보를 저장하는 메모리를 효과적으로 관리하여 서비스 거부 공격을 방어할 수 있다.According to an embodiment of the present invention, a memory storing TCP connection request information may be effectively managed to prevent a denial of service attack.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 일실시예에 따른 서비스 거부 공격 방어 방법을 나타낸다.
도 2는 도 1에 도시된 제1 검출 단계(S120)의 일실시예를 나타낸다.
도 3은 도 1에 도시된 제2 관리 단계(S130)의 일실시예를 나타낸다.
도 4는 도3에 도시된 제2 검출 단계(S136)의 일실시예를 나타낸다.
도 5는 도 3에 도시된 제2 검출 단계(S136)의 다른 실시예를 나타낸다.
도 6은 본 발명의 다른 실시예에 따른 서비스 거부 공격 방어 장치를 나타낸다.BRIEF DESCRIPTION OF THE DRAWINGS A brief description of each drawing is provided to more fully understand the drawings recited in the description of the invention.
1 illustrates a denial of service attack defense method according to an embodiment of the present invention.
FIG. 2 shows an embodiment of the first detection step S120 shown in FIG. 1.
3 illustrates an embodiment of the second management step S130 illustrated in FIG. 1.
4 shows an embodiment of the second detection step S136 shown in FIG.
FIG. 5 shows another embodiment of the second detection step S136 shown in FIG. 3.
6 illustrates a denial of service attack defense apparatus according to another embodiment of the present invention.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다.In order to fully understand the present invention, operational advantages of the present invention, and objects achieved by the practice of the present invention, reference should be made to the accompanying drawings and the accompanying drawings which illustrate preferred embodiments of the present invention.

본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 본 발명이 속하는 기술분야의 통상의 지식을 가진 자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.Embodiments of the present invention will now be described more fully hereinafter with reference to the accompanying drawings, in which exemplary embodiments of the invention are shown. These embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. The present invention is not limited to these embodiments. Rather, these embodiments are provided so that this disclosure will be more thorough and complete, and will fully convey the concept of the invention to those skilled in the art to which the present invention pertains.

이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 설명함으로써, 본 발명을 상세히 설명하기로 한다.Hereinafter, the present invention will be described in detail with reference to the embodiments of the present invention with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 서비스 거부 공격 방어 방법을 나타낸다.1 illustrates a denial of service attack defense method according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일실시예에 따른 서비스 거부 공격 방어 방법은 수신된 SYN 패킷들을 제1 저장영역에 저장하여 접속 요청 정보를 관리하는 제1 관리 단계(S110)과, 상기 제1 저장영역에서 관리되는 SYN 패킷들 중 의심스런 SYN 패킷들을 검출하는 제1 검출 단계(S120)과, 및 상기 의심스러운 SYN 패킷들을 제2 저장영역으로 옮겨서 접속 요청 정보를 관리하는 제2 관리 단계(S130)을 포함한다.Referring to FIG. 1, the denial of service attack defense method according to an embodiment of the present invention stores a received SYN packet in a first storage area to manage access request information (S110) and the first management step. A first detection step S120 of detecting suspicious SYN packets among SYN packets managed in a storage area, and a second management step S130 of managing the access request information by transferring the suspicious SYN packets to a second storage area; ).

제1 관리 단계(S110)는 SYN 패킷들을 수신하여 제1 저장영역에 저장한다. 제1 저장영역은 서버의 특정 포트로 들어오는 SYN 패킷 즉, 클라이언트의 연결 요청을 저장하는 백로그 큐(Backlog Queue)이다. 클라이언트로부터 SYN 패킷을 받은 서버는 이에 응답하여 SYN/ACK 패킷을 상기 클라이언트로 전송하고, 상기 SYN 패킷에 관한 정보를 일정 시간 동안 제1 저장영역에 저장하여 관리한다. 상기 일정 시간 동안 클라이언트로부터 ACK 패킷이 수신되지 않으면, 상기 SYN 패킷에 대응하는 접속 요청을 무시하고 제1 저장영역에서 상기 SYN 패킷을 삭제한다. The first management step S110 receives the SYN packets and stores them in the first storage area. The first storage area is a backlog queue that stores a SYN packet, that is, a connection request of a client, coming into a specific port of the server. In response to receiving the SYN packet from the client, the server transmits a SYN / ACK packet to the client, and stores and manages the information about the SYN packet in the first storage area for a predetermined time. If the ACK packet is not received from the client for the predetermined time, the access request corresponding to the SYN packet is ignored and the SYN packet is deleted from the first storage area.

제1 저장영역이 SYN 패킷들로 가득 차서 서비스 거부 사태를 초래하지 않도록 주기적으로 상기 제1 저장영역을 모니터링할 수 있다. 제1 검출 단계(S120)는 제1 저장영역에 저장되어 있는 SYN 패킷들 중 의심스러운 패킷들을 검출하고, 상기 검출된 SYN 패킷들을 제1 저장영역에서 삭제하여 제1 저장영역의 공간을 확보한다. The first storage area may be monitored periodically so that the first storage area is not filled with SYN packets to cause a denial of service. The first detection step S120 detects suspicious packets among SYN packets stored in the first storage area, and deletes the detected SYN packets from the first storage area to secure space in the first storage area.

제2 관리 단계(S130)는 제1 저장영역에 저장되어 있는 의심스러운 SYN 패킷들을 제2 저장영역으로 옮겨서 접속 요청 정보를 관리한다. 제1 저장영역과 제2 저장영역의 크기는 동일할 수 있다. 상기 제1 검출 단계(S120)에서 검출된 의심스러운 SYN 패킷들은 여전히 정상적인 패킷일 가능성이 존재한다. 따라서, 이들을 바로 삭제할 것은 아니고 제2 저장영역에서 별도로 관리한다. 제2 저장영역은 SYN 패킷들의 발신지별로 마련될 수 있다. 이 경우, 제2 저장영역에 저장되는 SYN 패킷들의 발신지는 모두 동일하다. 의심스러운 SYN 패킷들을 저장 및 관리하기 위한 저장영역은 개수와 그 크기가 미리 정해질 수 있다. 예를 들어, 제1 발신지의 SYN 패킷들은 제2 저장영역에서 관리되고, 제2 발신지의 SYN 패킷들은 제3 저장영역에서 관리될 수 있다. 제2 저장영역 및 제3 저장영역의 크기는 동일할 수 있다. The second management step S130 manages the access request information by transferring suspicious SYN packets stored in the first storage area to the second storage area. The size of the first storage area and the second storage area may be the same. Suspicious SYN packets detected in the first detection step S120 still exist as normal packets. Therefore, these are not immediately deleted, but are separately managed in the second storage area. The second storage area may be provided for each source of the SYN packets. In this case, the source of the SYN packets stored in the second storage area are the same. The number and size of storage areas for storing and managing suspicious SYN packets can be predetermined. For example, SYN packets of the first source may be managed in a second storage area, and SYN packets of the second source may be managed in a third storage area. The size of the second storage area and the third storage area may be the same.

도 2는 도 1에 도시된 제1 검출 단계(S120)의 일실시예를 나타낸다. FIG. 2 shows an embodiment of the first detection step S120 shown in FIG. 1.

도 2를 참조하면, 도 1에 도시된 제1 검출 단계(S120)은 제1 기준시간 동안 동일 발신지로부터 제1 기준개수 이상 수신된 SYN 패킷들이 있는지를 확인하는 단계(S122)와, 및 해당 SYN 패킷들을 의심스런 패킷들로 검출하는 단계(S124)를 포함할 수 있다. 즉, 제1 검출 단계(S120)는 제1 기준시간 동안에 동일 발신지로부터 제1 기준개수 이상 수신된 SYN 패킷들을 검출할 수 있다. 일반적으로 정상적인 클라이언트라면 서버로 짧은 시간 동안 과도하게 SYN 패킷을 전송하지 않는다. 제1 검출 단계(S120)는 짧은 시간 과도하게 많이 수신된 SYN 패킷들이 존재하는지를 확인하고, 공격으로 의심되는 SYN 패킷들을 구별한다. Referring to FIG. 2, the first detection step S120 illustrated in FIG. 1 includes checking whether there are SYN packets received from the same source or more from the same source during the first reference time (S122), and the corresponding SYNs. Detecting the packets as suspicious packets (S124). That is, the first detection step S120 may detect SYN packets received more than the first reference number from the same source during the first reference time. Normally, a normal client will not send excessive SYN packets to the server for a short time. The first detection step S120 checks whether there are too many received SYN packets in a short time and distinguishes SYN packets suspected of being attacked.

도 3은 도 1에 도시된 제2 관리 단계(S130)의 일실시예를 나타낸다.3 illustrates an embodiment of the second management step S130 illustrated in FIG. 1.

도 3을 참조하면, 도 1에 도시된 제2 관리 단계(S130)은 의심스런 SYN 패킷들을 제2 저장영역으로 복사하는 단계(S132)와, 제1 저장영역에서 의심스런 SYN 패킷들을 삭제하는 단계(S134)와, 제2 저장영역에서 관리하는 SYN 패킷들 중 공격 패킷들을 검출하는 제2 검출 단계(S136)와, 및 제2 저장영역에서 공격 패킷들을 삭제하는 단계(S138)를 포함할 수 있다. 제1 검출 단계(S120)에서 검출된 의심스런 SYN 패킷들이 정상적인 패킷일 가능성은 여전히 존재하며, 이후 클라이언트로부터 대응하는 ACK 패킷이 수신되어 정상적으로 TCP 세션을 형성할 수 있다. 따라서 공격으로 의심되는 SYN 패킷들을 제2 저장영역에 저장하여 관리한다. 그리고 의심스러운 SYN 패킷들을 제1 저장영역으로부터 제거하여 제1 저장영역의 공간을 확보함으로써 제1 저장영역이 가득 차게 되는 경우를 미연에 방지할 필요가 있다. 제2 저장영역에서 관리되는 SYN 패킷들이 공격 패킷에 해당하는지를 확인할 필요가 있다. 만약 공격 패킷들로 판단되는 경우에는 제2 저장영역에서 삭제하여 접속 요청을 무시한다. Referring to FIG. 3, the second management step S130 illustrated in FIG. 1 includes copying suspicious SYN packets to a second storage area (S132), and deleting suspicious SYN packets from the first storage area. (S134), a second detection step (S136) of detecting attack packets among SYN packets managed in the second storage area, and a step (S138) of deleting attack packets in the second storage area. . There is still a possibility that the suspicious SYN packets detected in the first detection step S120 are normal packets, and then a corresponding ACK packet is received from the client to normally establish a TCP session. Therefore, the SYN packets suspected of being attacked are stored and managed in the second storage area. In addition, it is necessary to prevent the case where the first storage area becomes full by removing suspicious SYN packets from the first storage area to secure a space in the first storage area. It is necessary to confirm whether SYN packets managed in the second storage area correspond to attack packets. If it is determined that the attack packets are discarded in the second storage area to ignore the access request.

도 4는 도3에 도시된 제2 검출 단계(S136)의 일실시예를 나타낸다.4 shows an embodiment of the second detection step S136 shown in FIG.

도 4를 참조하면, 도 3에 도시된 제2 검출 단계(S136)은 제2 기준시간 동안 동일 발신지로부터 제2 기준개수 이상 수신된 SYN 패킷들이 있는지 여부를 확인하는 단계(S136_1)과, 해당하는 SYN 패킷들을 공격 패킷들로 검출하는 단계(S136_2)를 포함할 수 있다. 즉, 제2 검출 단계(S316)은 제2 저장영역이 가득 찬 경우 제2 저장영역에서 관리되는 SYN 패킷들을 공격 패킷들로 검출한다. 일반적으로 정상적인 클라이언트라면 서버로 짧은 시간 동안 과도하게 SYN 패킷을 전송하지 않는다. 제2 저장영역에서도 과도하게 많은 것으로 확인된 SYN 패킷들은 동일 클라이언트로부터 짧은 시간 동안 지나치게 많은 접속 요청이 있었다는 것을 의미하며, 그 정도가 제1 저장영역에서의 기준을 넘어서는 경우이다. 따라서 서버의 리소스를 소비하여 서비스 제공을 중단시키려는 공격 패킷으로 보아도 무리가 없다. 제2 저장영역의 SYN 패킷들이 공격 패킷으로 판단되면 제2 저장영역에서 모두 삭제한다. Referring to FIG. 4, the second detection step S136 illustrated in FIG. 3 includes checking whether there are SYN packets received more than the second reference number from the same source during the second reference time (S136_1), and Detecting SYN packets as attack packets (S136_2). That is, the second detection step S316 detects SYN packets managed in the second storage area as attack packets when the second storage area is full. Normally, a normal client will not send excessive SYN packets to the server for a short time. SYN packets identified as too many in the second storage area mean that there are too many connection requests from the same client for a short time, and the degree exceeds the standard in the first storage area. Therefore, it can be considered as an attack packet that consumes server resources and stops providing a service. If the SYN packets of the second storage area are determined to be attack packets, all of them are deleted from the second storage area.

도 5는 도 3에 도시된 제2 검출 단계(S136)의 다른 실시예를 나타낸다.FIG. 5 shows another embodiment of the second detection step S136 shown in FIG. 3.

도 5를 참조하면, 도 3에 도시된 제2 검출 단계(S136)은 제2 저장영역이 풀(Full) 상태인지를 확인하는 단계(S136_3)과, 및 제2 저장영역에서 관리된 SYN 패킷들을 공격 패킷들로 검출하는 단계(S136_4)를 포함할 수 있다. 즉, 제2 검출 단계(S136)는 제2 저장영역이 가득 찬 경우 제2 저장영역에서 관리되는 SYN 패킷들을 상기 공격 패킷들로 검출한다. 제2 저장영역은 발신지 별로 마련될 수 있다. 이 경우, 제2 저장영역에서 관리되는 SYN 패킷들은 모두 동일 발신지를 가진다. 즉, 동일한 발신지로부터 짧은 시간 동안 비정상적으로 많은 수의 TCP 접속 요청이 있었다는 것은 서버의 리소스를 소비하여 서비스 제공을 중단시키려는 공격으로 보는 것이 합리적이다. 제2 저장영역의 SYN 패킷들이 공격 패킷으로 판단되면 제2 저장영역에서 모두 삭제한다.Referring to FIG. 5, the second detection step S136 illustrated in FIG. 3 may include checking whether the second storage area is in a full state (S136_3), and SYN packets managed in the second storage area. And detecting the attack packets (S136_4). That is, the second detection step S136 detects SYN packets managed in the second storage area as the attack packets when the second storage area is full. The second storage area may be provided for each source. In this case, all SYN packets managed in the second storage area have the same source. In other words, the unusually large number of TCP connection requests from the same source for a short time is reasonable as an attack that consumes server resources and stops providing services. If the SYN packets of the second storage area are determined to be attack packets, all of them are deleted from the second storage area.

도 6은 본 발명의 다른 실시예에 따른 서비스 거부 공격 방어 장치를 나타낸다.6 illustrates a denial of service attack defense apparatus according to another embodiment of the present invention.

도 6을 참조하면, 서비스 거부 공격 방어 장치(600)은 SYN 패킷들을 수신하는 수신부(610)와, 상기 수신된 SYN 패킷들을 저장하는 제1 저장부(620)와, 의심스런 SYN 패킷들을 저장하는 제2 저장부(630)와, 상기 제1 저장부의 SYN 패킷들 중 상기 의심스런 SYN 패킷들을 주기적으로 검출하는 제1 검출부(640)와, 및 검출된 상기 의심스러운 SYN 패킷들을 상기 제2 저장부로 옮겨서 접속 요청 정보를 관리하는 접속 요청 관리부(650)를 포함한다. 상기 제1 검출부(640)는 제1 기준시간 동안에 동일 발신지로부터 제1 기준개수 이상 수신된 SYN 패킷들을 검출할 수 있다. 상기 접속 요청 관리부(650)는 상기 제2 저장부(630)에서 관리되는 SYN 패킷들 중 공격 패킷들을 검출하는 제2 검출부(652)를 더 포함할 수 있다. 상기 접속 요청 관리부(650)은 검출된 상기 공격 패킷들을 상기 제2 저장부(652)에서 삭제할 수 있다. 상기 제2 검출부(652)는 제2 기준시간 동안에 동일 발신지로부터 제2 기준개수 이상 수신된 SYN 패킷들을 상기 공격 패킷들로 검출할 수 있다. 상기 제2 검출부(652)는 상기 제2 저장부(652)가 가득 찬 경우 상기 제2 저장부(652)에서 관리되는 SYN 패킷들을 상기 공격 패킷들로 검출할 수 있다.Referring to FIG. 6, the denial of service attack apparatus 600 includes a receiver 610 for receiving SYN packets, a first storage 620 for storing the received SYN packets, and a suspicious SYN packet. A second storage unit 630, a first detection unit 640 periodically detecting the suspicious SYN packets among the SYN packets of the first storage unit, and the detected suspicious SYN packets to the second storage unit; And a connection request management unit 650 for managing the connection request information. The first detector 640 may detect SYN packets received more than the first reference number from the same source during the first reference time. The access request manager 650 may further include a second detector 652 for detecting attack packets among the SYN packets managed by the second storage unit 630. The access request manager 650 may delete the detected attack packets from the second storage 652. The second detector 652 may detect SYN packets received more than a second reference number from the same source during the second reference time as the attack packets. When the second storage unit 652 is full, the second detection unit 652 may detect SYN packets managed by the second storage unit 652 as the attack packets.

이상에서와 같이 도면과 명세서에서 최적 실시 예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, an optimal embodiment has been disclosed in the drawings and specification. Although specific terms have been employed herein, they are used for purposes of illustration only and are not intended to limit the scope of the invention as defined in the claims or the claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

610: 수신부 620: 제1 저장부
630: 제2 저장부 640: 제1 검출부
650: 접속 요청 관리부 652: 제2 검출부610: receiving unit 620: first storage unit
630: second storage unit 640: first detection unit
650: connection request management unit 652: second detection unit

Claims (8)

수신된 SYN 패킷들을 큐(queue) 방식으로 제1 저장영역에 저장하고 상기 제1 저장영역에 저장된 SYN 패킷들에 따라 접속 요청 정보를 관리하는 제1 관리 단계;
상기 제1 저장영역에 저장된 SYN 패킷들 중 제1 기준시간 동안에 동일 발신지로부터 제1 기준개수 이상 수신된 SYN 패킷들을 의심스런 SYN 패킷들로 검출하는 제1 검출 단계; 및
상기 의심스런 SYN 패킷들을 상기 제1 저장영역으로부터 제2 저장영역으로 옮기고, 상기 제1 저장영역 및 상기 제2 저장영역에 저장된 SYN 패킷들에 기반하여 접속 요청 정보를 관리하는 제2 관리 단계를 포함하는 것을 특징으로 하는 서비스 거부 공격 방어 방법.A first management step of storing the received SYN packets in a first storage area in a queue manner and managing connection request information according to the SYN packets stored in the first storage area;
A first detection step of detecting, as suspicious SYN packets, SYN packets received more than a first reference number from the same source during a first reference time among SYN packets stored in the first storage area; And
A second management step of moving the suspicious SYN packets from the first storage area to a second storage area and managing access request information based on the SYN packets stored in the first storage area and the second storage area; Denial of service attack defense method characterized in that. 제 1 항에 있어서, 상기 제2 관리 단계는
상기 의심스러운 SYN 패킷들을 제2 저장영역으로 복사하는 단계;
상기 제1 저장영역에서 상기 의심스러운 SYN 패킷들을 삭제하는 단계; 및
상기 제2 저장영역에 저장된 SYN 패킷들 중 제2 기준시간 동안에 동일 발신지로부터 제2 기준개수 이상 수신된 SYN 패킷들을 공격 패킷들로 검출하는 제2 검출 단계;
상기 제2 저장영역에서 검출된 상기 공격 패킷들을 삭제하는 단계를 포함하는 것을 특징으로 하는 서비스 거부 공격 방어 방법.The method of claim 1, wherein the second management step
Copying the suspicious SYN packets to a second storage area;
Deleting the suspicious SYN packets from the first storage area; And
A second detection step of detecting, as attack packets, SYN packets received more than a second reference number from the same source during a second reference time among the SYN packets stored in the second storage area;
And deleting the attack packets detected in the second storage area. 제 1 항에 있어서, 상기 제2 관리 단계는
상기 의심스러운 SYN 패킷들을 제2 저장영역으로 복사하는 단계;
상기 제1 저장영역에서 상기 의심스러운 SYN 패킷들을 삭제하는 단계; 및
상기 제2 저장영역이 가득 찬 경우 상기 제2 저장영역에 저장된 SYN 패킷들을 공격 패킷들로 검출하는 제2 검출 단계;
상기 제2 저장영역에서 검출된 상기 공격 패킷들을 삭제하는 단계를 포함하는 것을 특징으로 하는 서비스 거부 공격 방어 방법.The method of claim 1, wherein the second management step
Copying the suspicious SYN packets to a second storage area;
Deleting the suspicious SYN packets from the first storage area; And
A second detection step of detecting SYN packets stored in the second storage area as attack packets when the second storage area is full;
And deleting the attack packets detected in the second storage area. SYN 패킷들을 수신하는 수신부;
상기 수신된 SYN 패킷들을 큐(queue) 방식으로 저장하는 제1 저장부;
의심스런 SYN 패킷들을 저장하는 제2 저장부;
상기 제1 저장부의 SYN 패킷들 중 제1 기준시간 동안에 동일 발신지로부터 제1 기준개수 이상 수신된 SYN 패킷들을 상기 의심스런 SYN 패킷들로 검출하는 제1 검출부; 및
검출된 상기 의심스러운 SYN 패킷들을 상기 제1 저장부로부터 상기 제2 저장부로 옮기고, 상기 제1 저장부 및 상기 제2 저장부에 저장된 SYN 패킷들에 기반하여 접속 요청 정보를 관리하는 접속 요청 관리부를 포함하는 것을 특징으로 하는 서비스 거부 공격 방어 장치.A receiver for receiving SYN packets;
A first storage unit for storing the received SYN packets in a queue manner;
A second storage unit for storing suspicious SYN packets;
A first detector configured to detect SYN packets received more than a first reference number from the same source during the first reference time among the SYN packets of the first storage unit as the suspect SYN packets; And
A connection request manager configured to move the detected suspicious SYN packets from the first storage to the second storage and to manage access request information based on the SYN packets stored in the first storage and the second storage. Denial of service attack defense device comprising a. 제 4 항에 있어서, 상기 접속 요청 관리부는
상기 제2 저장부에 저장된 SYN 패킷들 중 제2 기준시간 동안에 동일 발신지로부터 제2 기준개수 이상 수신된 SYN 패킷들을 공격 패킷들로 검출하는 제2 검출부를 포함하고, 검출된 상기 공격 패킷들을 상기 제2 저장부에서 삭제하는 것을 특징으로 하는 서비스 거부 공격 방어 장치.The method of claim 4, wherein the connection request management unit
A second detector configured to detect, as attack packets, SYN packets received more than a second reference number from the same source during a second reference time among the SYN packets stored in the second storage unit; Denial of service attack defense device characterized in that the deletion from the storage. 제 4 항에 있어서, 상기 접속 요청 관리부는
상기 제2 저장부가 가득 찬 경우 상기 제2 저장부에 저장된 SYN 패킷들을 공격 패킷들로 검출하는 제2 검출부를 포함하고, 검출된 상기 공격 패킷들을 상기 제2 저장부에서 삭제하는 것을 특징으로 하는 서비스 거부 공격 방어 장치.The method of claim 4, wherein the connection request management unit
And a second detector for detecting SYN packets stored in the second storage unit as attack packets when the second storage unit is full, and deleting the detected attack packets from the second storage unit. Rejection attack defense device. 제 1 항에 있어서,
상기 제2 저장영역에 저장된 SYN 패킷들 중 제2 기준시간 동안에 동일 발신지로부터 제2 기준개수 이상 수신된 SYN 패킷들을 공격 패킷들로 검출하는 제2 검출 단계; 및
상기 제2 저장영역에서 검출된 상기 공격 패킷들을 삭제하는 단계를 더 포함하는 것을 특징으로 하는 서비스 거부 공격 방어 방법.The method of claim 1,
A second detection step of detecting, as attack packets, SYN packets received more than a second reference number from the same source during a second reference time among the SYN packets stored in the second storage area; And
And deleting the attack packets detected in the second storage area. 제 1 항에 있어서,
상기 제2 저장영역이 가득 찬 경우 상기 제2 저장영역에 저장된 SYN 패킷들을 공격 패킷들로 검출하는 제2 검출 단계; 및
상기 제2 저장영역에서 검출된 상기 공격 패킷들을 삭제하는 단계를 더 포함하는 것을 특징으로 하는 서비스 거부 공격 방어 방법.
The method of claim 1,
A second detection step of detecting SYN packets stored in the second storage area as attack packets when the second storage area is full; And
And deleting the attack packets detected in the second storage area.
KR1020120007643A 2012-01-26 2012-01-26 Method and Apparatus For Defending Against Denial Of Service Attack KR101295299B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120007643A KR101295299B1 (en) 2012-01-26 2012-01-26 Method and Apparatus For Defending Against Denial Of Service Attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120007643A KR101295299B1 (en) 2012-01-26 2012-01-26 Method and Apparatus For Defending Against Denial Of Service Attack

Publications (2)

Publication Number Publication Date
KR20130086739A KR20130086739A (en) 2013-08-05
KR101295299B1 true KR101295299B1 (en) 2013-08-08

Family

ID=49213834

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120007643A KR101295299B1 (en) 2012-01-26 2012-01-26 Method and Apparatus For Defending Against Denial Of Service Attack

Country Status (1)

Country Link
KR (1) KR101295299B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080021492A (en) * 2006-08-31 2008-03-07 영남대학교 산학협력단 Ddos protection system and method in per-flow based packet processing system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080021492A (en) * 2006-08-31 2008-03-07 영남대학교 산학협력단 Ddos protection system and method in per-flow based packet processing system

Also Published As

Publication number Publication date
KR20130086739A (en) 2013-08-05

Similar Documents

Publication Publication Date Title
KR101369727B1 (en) Apparatus and method for controlling traffic based on captcha
US6816910B1 (en) Method and apparatus for limiting network connection resources
EP2533492B1 (en) A node device and method to prevent overflow of pending interest table in name based network system
US20110131646A1 (en) Apparatus and method for preventing network attacks, and packet transmission and reception processing apparatus and method using the same
US20160080033A1 (en) Physical unidirectional communication apparatus and method
CN101626368A (en) Device, method and system for preventing web page from being distorted
KR100858271B1 (en) Method and system for defensing distributed denial of service
CN105376210A (en) Account threat identification and defense method and system
US20140115705A1 (en) Method for detecting illegal connection and network monitoring apparatus
CN106407793B (en) USB device secure accessing monitoring method
US8978138B2 (en) TCP validation via systematic transmission regulation and regeneration
JP2008054204A (en) Connection device, terminal device, and data confirmation program
US8429742B2 (en) Detection of a denial of service attack on an internet server
KR101263381B1 (en) Method and apparatus for defending against denial of service attack in tcp/ip networks
KR101835315B1 (en) IPS Switch System and Processing Method
US11310265B2 (en) Detecting MAC/IP spoofing attacks on networks
US20150261810A1 (en) Data transfer apparatus and method
KR101295299B1 (en) Method and Apparatus For Defending Against Denial Of Service Attack
KR101420301B1 (en) Method and apparatus for detecting ddos attack
JP6870386B2 (en) Malware unauthorized communication countermeasure system and method
KR102027434B1 (en) Security apparatus and method for operating the same
CN110198298A (en) A kind of information processing method, device and storage medium
KR102027438B1 (en) Apparatus and method for blocking ddos attack
US9313224B1 (en) Connectivity protector
KR102152395B1 (en) Apparatus for detecting Slow HTTP POST DoS Attack

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160801

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180802

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190801

Year of fee payment: 7