KR101333305B1 - 안전한 tcp 연결 관리 장치 및 방법 - Google Patents

안전한 tcp 연결 관리 장치 및 방법 Download PDF

Info

Publication number
KR101333305B1
KR101333305B1 KR1020100065404A KR20100065404A KR101333305B1 KR 101333305 B1 KR101333305 B1 KR 101333305B1 KR 1020100065404 A KR1020100065404 A KR 1020100065404A KR 20100065404 A KR20100065404 A KR 20100065404A KR 101333305 B1 KR101333305 B1 KR 101333305B1
Authority
KR
South Korea
Prior art keywords
connection
user terminal
tcp
tcp connection
packet
Prior art date
Application number
KR1020100065404A
Other languages
English (en)
Other versions
KR20110070750A (ko
Inventor
김익균
김병구
김대원
오진태
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20110070750A publication Critical patent/KR20110070750A/ko
Application granted granted Critical
Publication of KR101333305B1 publication Critical patent/KR101333305B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

서버의 기능을 유지하면서 TCP 연결에 대한 서비스 거부 공격을 효과적으로 차단하는 기술을 제공한다. 본 발명의 실시 예에 따른 안전한 TCP 연결 관리 장치는, TCP 연결을 위해 수신한 SYN 패킷에 근거하여 검증키를 생성하여 사용자 단말기에 전달하는 검증키 생성부; 전달된 검증키에 대한 사용자 단말기로부터의 응답 신호를 분석한 결과와 SYN 패킷에 근거하여 유효한 TCP 연결인지를 판단하는 연결 검증부; 및 유효한 TCP 연결인지에 대한 판단 결과에 근거하여 사용자 단말기로부터 통신 서버로의 데이터 패킷 송수신을 제어하는 연결 제어부를 포함하는 것을 특징으로 한다.

Description

안전한 TCP 연결 관리 장치 및 방법{APPARATUS AND METHOD FOR MANAGING SAFE TRANSMISSION CONTROL PROTOCOL CONNECTION}
본 발명은 정상적인 서버에서의 TCP(Transmission Control Protocol) 기반의 연결을 방해하는 형태의 서비스 거부 공격(DDoS: Distributed Denial of Service, DoS: Denial of Service)으로부터 서버를 보호하고 원활한 서비스를 제공하도록 하기 위한 TCP 기반 공격 차단 기술에 관한 것이다.
더욱 자세하게는, TCP 기반 공격과 관련된 악의적인 TCP 사용자의 접근을 서버의 성능 감소 없이 원천적으로 차단하는 방법에 관한 것이다.
본 발명은, 지식경제부의 사업의 일환으로 수행한 연구로부터 도출된 것이다. [국가관리번호: 2009-S-038-01, 과제명: 분산서비스거부(DDoS) 공격 대응 기술개발]
최근 인터넷을 기반으로 한 데이터의 송수신량이 급증하고 있다. 이와 동시에, 인터넷의 사용을 악의적으로 방해하기 위한 공격 역시 급증하고 있다. 인터넷 기반 서버의 가용성을 위협하는 대표적인 형태의 공격으로는 서비스 거부 공격 또는 분산 서비스 거부 공격(DoS, DDoS)가 있다. 이러한 공격의 형태는 주요 웹사이트나 루트 DNS 서버에 대한 공격처럼 국가 또는 인터넷 전체 기반 체계를 대상으로 매우 광범위하게 전개되고 있다.
특히, 과거에는 네트워크 인프라 마비를 목표로 하는 악의적인 공격이 대부분이었으나, 최근에는 금품 탈취를 목적으로 하여 금융 기관 등에서 관리되는 특정 서버를 직접 공격하는 사례가 급증하고 있다. 특정 서버를 직접 공격하는 DDoS 공격의 유형은 TCP 기반의 공격이 대부분을 차지하고 있다. TCP 연결 시도, TCP 프로토콜의 비정상적 접근, 사용하지 않는 연결 설정 유지 등을 이용하고 있다.
DDoS 공격이 빈번하게 발생하는 기술적인 이유는, 정상적인 TCP 주체와 악의의 TCP 주체들이 동시에 서버에 접속하는 상황에서 TCP 프로토콜이 보안성을 고려하지 않은 상태에서 개발되어 DDoS 공격에 매우 취약하기 때문이다. TCP를 대체하여 보안성이 강화된 프로토콜을 배포하고 있다고 하지만, 기존 TCP의 점유율이 높기 때문에 기존 TCP를 사용하는 상태에서의 보안상의 취약점 및 그로 인한 성능 문제 해결이 함께 보완될 필요성이 증가하고 있다.
상기 언급한 필요성에 대응하여, 본 발명은, 서비스 거부 공격을 위한 악의적인 TCP 연결을 근본적으로 차단하는 데 그 목적이 있다. 또한, 기존 TCP를 이용하는 상태에서 서비스 거부 공격을 효과적으로 차단하여, 현재 불특정 다수가 이용하는 인터넷 서버의 경우에도 효율적으로 서비스 거부 공격을 차단하는 기술을 제공하는 데 그 목적이 있다. 이외에도, 서비스 거부 공격에 대한 대응에 있어서 서버의 성능을 저하시키지 않고 효율적으로 악의적인 TCP 연결을 차단하는 데 그 목적이 있다.
상기 목적을 달성하기 위하여, 본 발명의 실시 예에 따른 TCP 연결 관리 장치는, TCP 연결을 위해 수신한 SYN 패킷에 근거하여 검증키를 생성하여 사용자 단말기에 전달하는 검증키 생성부; 전달된 검증키에 대한 사용자 단말기로부터의 응답 신호를 분석한 결과와 SYN 패킷에 근거하여 유효한 TCP 연결인지를 판단하는 연결 검증부; 및 유효한 TCP 연결인지에 대한 판단 결과에 근거하여 사용자 단말기로부터 통신 서버로의 데이터 패킷 송수신을 제어하는 연결 제어부를 포함하는 것을 특징으로 한다.
추가적으로, 연결 검증부는 유효한 TCP 연결로 판단된 경우 사용자 단말기로부터 연결 제어부로의 제1 데이터 패킷의 수신 여부를 판단하고, 제1 데이터 패킷이 수신되는 경우 정상적인 TCP 연결 설정으로 판단하여 사용자 단말기와 통신 서버간의 추가적인 데이터 송수신을 허용하는 기능을 더 포함하는 것을 특징으로 한다.
연결 제어부는, 제1 데이터 패킷 수신 시 통신 서버의 TCP 연결 설정 시간 동안 제1 데이터 패킷을 서버에 전달하지 않고 임시 저장하는 기능을 포함한다.
또한, 유효한 TCP 연결 정보를 실시간으로 저장하여 관리하는 연결정보 관리부가 더 포함될 수 있다.
본 발명의 실시 예에 따른 TCP 연결 관리 방법은, 검증키 생성부가 TCP 연결을 위해 수신한 SYN 패킷에 근거하여 검증키를 생성하여 사용자 단말기에 전달하는 단계; 연결 검증부가 전달된 검증키에 대한 사용자 단말기로부터의 응답 신호를 분석한 결과와 SYN 패킷에 근거하여 유효한 TCP 연결인지를 판단하는 단계; 및 연결 제어부가 유효한 TCP 연결인지에 대한 판단 결과에 근거하여 사용자 단말기로부터 통신 서버로의 데이터 패킷 송수신을 제어하는 단계를 포함하는 것을 특징으로 한다.
본 발명의 실시 예에 따른 TCP 연결 관리 장치 및 방법은, 사용자 단말기 네트워크와 서버의 중간에 위치하여 TCP 연결을 직접 제어한다. 따라서, 서버로의 악의적인 TCP 연결을 사전에 차단할 수 있으며, 유효한 TCP 연결에 대해서 관리하여 서버와의 연결을 효과적으로 제어할 수 있는 효과가 있다. 또한, 서버에서 직접 악의적인 TCP 연결을 제어하는 대신 TCP 연결 관리 장치 및 방법에 의해서 관리하기 때문에, 서버의 과부하를 방지하여 TCP 연결 기반의 서비스 거부 공격을 더욱 효율적으로 차단할 수 있는 효과가 있다.
도 1은 본 발명의 실시 예에 따른 TCP 연결 관리 장치의 블록도이다.
도 2는 TCP 연결 관리 장치의 연결 상태와 기능에 대해 도시한 것이다.
도 3은 사용자 단말기, TCP 연결 관리 장치, 및 서버의 데이터 교환을 도시한 것이다.
도 4는 연결 정보 관리부가 관리하는 데이터의 구성 예를 도시한 것이다.
도 5는 본 발명의 실시 예에 따른 TCP 연결 관리 방법의 플로우차트이다.
이하, 도 1을 참조하여 TCP 연결 관리 장치에 대한 본 발명의 실시 예를 설명하기로 한다.
도 1은 본 발명의 실시 예에 따른 TCP 연결 관리 장치의 블록도이다.
도 1을 참조하면, 본 발명의 실시 예에 따른 TCP 연결 관리 장치(110)는 연결 제어부(100), 검증키 생성부(101), 및 연결 검증부(102)를 포함한다. 또한 추가적으로 연결 정보 관리부(103)를 더 포함할 수 있다.
본 발명의 실시 예에 따른 TCP 연결 관리 장치(110)는 사용자 단말기와 서버와의 연결을 제어하는 네트워크 인터페이스 카드 상에 설치된다. 네트워크 인터페이스 카드는, 서버와 복수의 사용자의 연결을 제어하는 수단으로서, 복수의 사용자가 하나의 서버에 접속하고자 할 때 사용자와 서버 사이의 통신을 제어하고, 사용자 사이에서의 통신의 혼선을 방지하고 DDoS 공격을 차단하기 위하여 통신망 연결 등에 있어서의 제어를 수행하는 수단이다.
또한, TCP 연결 관리 장치(110)는 다종의 TCP 연결 방식 모두에 적용될 수 있는 발명이다. 특히, 본 발명은 고속의 프락시 TCP 연결에서 효율적으로 DDoS 공격을 차단할 수 있는 효과가 있을 것이다.
검증키 생성부(101)는, TCP 연결을 위해 수신한 SYN 패킷에 근거하여 검증키를 생성하여 사용자 단말기에 전달하는 기능을 수행한다.
본 발명의 실시 예에서의 검증키는, TCP 연결 관리 장치(110)에서 사용자 단말기로 전송하는 데이터를 지칭한다. 검증키는, 네트워크(104) 및 연결 제어부(100)를 통해 사용자 단말기로부터의 TCP 연결 시도가 유효한 연결 시도인지를 검증하는 수단이 된다.
검증키는, 사용자 단말기로부터 전달되는 정보에 근거하여 생성되는 것이 바람직하다. TCP 연결을 위해 사용자 단말기는 기본적으로 서버와의 연결을 설정하기 위하여 SYN 패킷(또는 연결 요청 패킷)을 전송하게 된다. SYN 패킷은 세션을 설정하는 데 사용된다.
검증키 생성의 기반이 되는 SYN 패킷에는, 사용자 단말기를 의미하는 소스의 IP(Internet Protocol) 주소가 포함되어 있다. 이 외에도, 소스 TCP 주소, 목적지(즉 연결 대상 서버) IP주소, 목적지 TCP가 SYN 패킷의 정보로서 포함되어 있을 수 있다.
본 발명의 실시 예에서 검증키는 사용자 단말기로부터 서버 측으로 SYN(시퀀스 넘버)를 전송 시, 처음에 클라이언트가 서버로 보내는 시퀀스 넘버, 즉 ISN(Initial Sequence Number, 초기 순서 번호)에 근거하여 생성된다. 따라서 검증키 생성부(101)는, 사용자 단말기로부터 서버(105) 측으로 전송되는 SYN 패킷을 가로채어 SYN 패킷의 ISN을 추출하고, 추출된 ISN으로부터 검증키를 생성하게 되는 것이다. 검증키는 SYN 의 ISN 이외에도, 사용자에 대해서 유효한 TCP 연결인지를 판단하기 위하여 생성 가능한 어떠한 신호라도 가능할 것이다.
따라서 검증키 생성부(101)는, 복수의 사용자 단말기가 연결된 네트워크(104)로부터 서버(105)로 전달되는 SYN 패킷을 연결 제어부(100)로부터 전달받고, SYN의 ISN에 근거하여 검증키를 생성한 뒤, 사용자 단말기에 전달하기 위해 연결 제어부(100)로 다시 전송하는 기능을 수행한다. 검증키는, 쿠키로 이용되어 사용자 단말기에 전송된다.
기본적으로 검증키를 사용하여 유효한 TCP 연결인지를 판단하는 방법은 TCP 연결 방식에서의 3 웨이 핸드 쉐이킹(3 Way HandShaking)에 기반한다. 3 웨이 핸드 쉐이킹은, 사용자 단말기에서 서버로 연결을 요청하면서 SYN 패킷을 송신하는 단계, 서버에서 SYN 패킷 수신에 대한 응답 신호를 송신하는 단계, 사용자 단말기에서 다시 서버로 응답 신호를 송신하는 단계를 포함한다.
본 발명의 실시 예에 따른 TCP 연결 관리 장치(110)는, 상기 언급한 3 웨이 핸드 쉐이킹을 서버 대신 수행하여, 검증키를 사용자 단말기에 전달하고 검증키를 통해 사용자 단말기의 SYN 패킷 및 서버로의 응답 신호를 분석하여, TCP 연결 요청이 유효한 것인지를 판단하게 되는 것이다.
이를 위해, 검증키 생성부(100)는 상기 3 웨이 핸드 쉐이킹에서 전달되는 SYN 패킷을 수신하고, SYN 응답 신호를 사용자 단말기에 전달 시 SYN ISN에 근거한 검증키를 쿠키로 이용하여 사용자 단말기에 전달하게 되는 것이다.
연결 검증부(102)는, 검증키에 대한 사용자 단말기로부터의 응답 신호를 분석한 결과와 초기에 사용자 단말기로부터 전달된 SYN 패킷에 근거하여 유효한 TCP 연결인지를 판단하는 기능을 수행한다.
검증키가 포함된 SYN 응답 신호는 검증키 생성부(101) 및 연결 제어부(100)를 통해 네트워크(104)에 연결된 사용자 단말기에 송신된다. 먼저 연결 검증부(102)는, SYN 패킷을 수신한다. 이후 3 웨이 핸드 쉐이킹에서, 사용자 단말기는 SYN 응답 신호를 수신하게 되면, SYN 응답 신호에 대한 응답 신호를 다시 서버 측으로 전송하게 된다. 연결 제어부(100)는 이를 수신하여 연결 검증부(102)에 전송한다. 연결 검증부(102)는, 사용자 단말기로부터의 응답 신호와 SYN 패킷을 비교하여, 사용자 단말기로부터의 TCP 연결이 유효한 연결인지를 판단한다.
본 발명의 실시 예에서 연결 검증부(102)가 응답 신호와 SYN 패킷을 비교하는 방식은 다음과 같다. 먼저 ISN을 쿠키로 한 SYN 응답 신호가 사용자 단말기에 전달된다. TCP 연결이 유효하다면, 사용자 단말기로부터의 SYN 응답 신호에 대한 응답 신호의 순서 번호보다 1이 작은 값을 갖는 순서 번호에 대응하는 SYN 패킷에 포함된 패킷 정보와, 응답 신호의 순서 번호에 대응하는 응답 신호에 포함된 패킷 정보가 일치해야 한다.
따라서, 연결 검증부(102)는, 응답 신호를 수신 시에, 응답 신호에 포함된 응답 신호 패킷 정보를 추출한다. 그리고, 응답 신호 패킷에 포함된 순서 번호에서 1을 뺀 값을 가지는 순서 번호에 대응하는 SYN 패킷의 패킷 정보를 추출한다. 이후, 추출된 두 패킷 정보가 일치하는 지 비교한다. 만약, 두 패킷 정보가 일치한다면, 유효한 TCP 연결 요청으로 판단하고, 일치하지 않는다면, 악의의 연결 시도로 판단하게 된다.
본 발명의 실시 예에서 비교 대상이 되는 SYN 패킷의 정보는 상기 SYN 패킷에 포함된 정보를 의미한다. 즉, SYN 패킷 정보에는, 사용자 단말기(소스)의 IP 주소, 사용자 단말기의 TCP 포트의 정보, 연결하고자 하는 서버(즉 목적지)의 IP 주소, 연결하고자 하는 서버의 TCP 포트 중 하나 이상이 포함된다.
연결 검증부(102)는 상기의 기능을 통하여 복수의 사용자 단말기들로부터의 TCP 연결이 유효한 것인지를 판단하는 기능을 수행한다. TCP 연결 관리 장치는, 서버로 전달되는 SYN 패킷을 가로채고, TCP 연결 설정에 필요한 3 웨이 핸드 쉐이킹을 사용자 단말기와 직접 수행한다. 따라서, 과도한 TCP 연결 설정에 의한 서버의 과부하를 방지할 수 있으며, 유효한 TCP 연결만을 가려내어 서버와의 연결을 중개하기 때문에, 서버의 기능을 저하시키는 일 없이 서비스 거부 공격을 효과적으로 차단할 수 있다.
연결 검증부(102)는 상기의 기능을 통하여 서비스 거부 공격을 차단하는 데 추가하여, 2차적으로 서비스 거부 공격을 차단하는 기능을 수행할 수 있다.
즉, SYN 패킷의 정보와 사용자 단말기로부터의 응답 신호가 일치하여 유효한 연결로 판단되더라도, 악의의 TCP 연결 시도를 추가적으로 차단하기 위하여, 다음의 기능을 수행할 수 있다.
연결 검증부(102)는, 유효한 TCP 연결로 판단되는 경우, 서버(105)와 사용자 단말기의 데이터 송수신을 바로 허락하지 않는 대신, 사용자 단말기로부터 연결 제어부(100)로 처음 보내지는 제1 데이터 패킷을 수신할 수 있다. 이 때 연결 검증부(102)는 연결 제어부(100)로 제1 데이터 패킷이 수신되는지를 판단하게 된다.
연결 제어부(100)는 사용자 단말기로부터 서버로 전달되는 제1 데이터 패킷을 가로채어 수신하게 된다. 연결 검증부(100)는 연결 제어부(100)로부터 상기 제1 데이터 패킷이 수신되는지 여부를 판단하게 된다. 만약 제1 데이터 패킷이 수신되는 경우에는, 정상적인 TCP 연결 설정으로 판단하게 된다. 정상적인 TCP 연결 설정으로 판단되는 경우에는, 사용자 단말기와 통신 서버(105) 간의 이후의 데이터 송수신을 허용하는 기능을 수행한다. 이후, 연걸 검증부(102)는 연결 제어부(100)에 통신 서버(105)와 사용자 단말기 사이의 데이터 송수신 허용 여부에 대한 정보를 송신한다.
서비스 거부 공격은, 실제 데이터 패킷을 전송하지 않고 연결 요청 패킷, 즉 상기 언급한 SYN 패킷 만을 반복하여 송신함으로써 서버에 과부하가 걸리게 하는 공격 형태이다. 서비스 거부 공격은 SYN 패킷 자체에 대한 유효성 판단을 통해 악의적인 SYN 패킷을 걸러내는 것으로 일차적으로 차단할 수 있지만, 상기 언급한 서비스 거부 공격의 형태에 근거하여 서비스 거부 공격을 차단할 수도 있다.
따라서, 연결 검증부(102)에서는 추가적으로, 제1 데이터 패킷이 사용자 단말기로부터 전달되는지를 판단하는 기능을 더 포함할 수 있는 것이다. 상기의 기능을 통해, 비록 사용자 단말기로부터의 SYN 패킷이 유효하다 하더라도 데이터가 수신되지 않는다면 악의의 연결 요청으로 판단하여 사용자 단말기와 서버와의 데이터 송수신을 허락하지 않게 된다. 이를 통해 2단계의 서비스 거부 공격 차단망을 구축함으로써, 더욱 효과적으로 서비스 거부 공격을 사전에 차단할 수 있는 것이다.
연결 제어부(100)는, 유효한 TCP 연결인지에 대한 판단 결과에 근거하여 사용자 단말기로부터 통신 서버(105)로의 데이터 패킷 송수신을 제어하는 기능을 수행한다.
연결 제어부(100)는 상기 기능 이외에도, 상기 언급한 바와 같이 검증키 생성부(101) 및 연결 검증부(102)의 기능을 보조한다. 즉, SYN 패킷을 사용자 단말기로부터 수신하여 검증키 생성부(101) 및 연결 검증부(102)에 송신하는 기능을 수행한다. 또한, 검증키 생성부(101)로부터 생성되는 검증키 및 SYN 응답 신호를 사용자 단말기에 송신한다. 그리고 사용자 단말기로부터의 응답 신호를 수신하여 연결 검증부(102)에 송신한다.
연결 제어부(100)는, 기본적으로 유효한 TCP 연결로 판단되거나, 제1 데이터 패킷이 수신되는 것으로 판단되는 경우 연걸 검증부(102)의 신호를 수신하여 사용자 단말기와 통신 서버(105)간의 연결을 설정하고, 사용자 단말기와 통신서버(105) 간의 데이터 송수신을 연결해 주는 기능을 수행한다.
즉, 연결 제어부(100)는 복수의 사용자 단말기가 연결된 네트워크(104), 검증키 생성부(101), 연결 검증부(102) 및 서버(105) 사이의 연결을 중개하는 기능을 수행한다. 상기 언급한 구성 사이에서 TCP 연결 관리, 즉 서비스 거부 공격 차단을 위해 상호 교환되는 데이터를 전송한다. 최종적으로 정상적인 TCP 연결로 판단이 되면, 연결 제어부(100)는 통신 서버(105)에 정상적인 연결로 판단된 사용자 단말기와의 연결을 설정하는 것을 요청한다.
통신 서버(105)는 사용자 단말기가 아닌 연결 제어부(100)로부터 연결에 필요한 세션 오픈에 대한 요청을 수신한다. 기존의 TCP 연결과는 다른 점이다. 연결 제어부(100)로부터 세션 오픈 요청을 수신하게 되기 때문에, 사용자 단말기로부터의 악의적인 세션 오픈 요청 패킷을 원천적으로 수신하지 않게 된다. 사용자 단말기의 측면에서는, 사용자 단말기는 연결 제어부(100)가 자동으로 서버와의 통신을 하기 때문에, TCP 연결 관리 장치(110)의 존재 여부는 알 수 없다. 따라서, 서버의 성능 저하를 방지할 수 있으며, 사용자 단말기에서의 이용 성능 역시 저하되지 않은 채로 효율적인 TCP 연결 관리를 수행할 수 있는 효과가 있다.
연결 제어부(100)는 유효한 또는 정상적인 TCP 연결에 대한 판단이 된 후, 통신 서버(105)로 TCP 연결 세션을 오픈하기 위한 요청을 한다. 이때, 연결 검증을 위해 수신한 제1 데이터 패킷을 바로 통신 서버(105)에 송신하는 것은 불가능하다. 통신 서버(105)가 사용자 단말기에 대응하는 세션을 오픈하는 데 소정의 시간이 소요되기 때문이다.
따라서 연결 제어부(100)는 통신 서버가 사용자 단말기와의 데이터 송수신을 위한 TCP 연결을 설정하기 위해 미리 설정된 소정 시간 동안 제1 데이터 패킷을 임시 저장하는 기능을 더 포함할 수 있다.
연결 제어부(100)는, 통신 서버(105)와 사용자 단말기 사이에 정상적인 연결을 설정하는 데 걸리는 소정 시간 동안 제1 데이터 패킷을 임시 저장한다. 연결 제어부(100)는, 새로운 연결 설정을 위한 SYN 패킷을 통신 서버(105)로 전달한다. 이 때, 사용되는 ISN은 제1 데이터 패킷에 기록된 순서 번호에서 1을 뺀 값을 사용함으로써, 사용자 단말기로부터 통신 서버(105)에 대한 방향에 대한 순서 번호의 동기화가 자동으로 이루어 지도록 한다.
이후, 연결 제어부(100)는 통신 서버(105)와 상기 언급한 3 웨이 핸드 쉐이킹을 수행하게 된다. 즉, 연결 제어부(100)와 통신 서버(105) 사이에서 SYN 패킷 전달, SYN 응답, SYN 응답에 대한 응답을 수행하여 통신 서버(105)에 사용자 단말기와의 연결을 설정하게 된다.
즉, 연결 제어부(100)가 제1 데이터 패킷을 임시 저장하는 소정 시간은 연결 제어부(100)와 통신 서버(105) 간의 3 웨이 핸드 쉐이킹이 완료되어 통신 서버(105)에 제1 데이터 패킷이 전달될 수 있는 시간을 의미함이 바람직하다.
최악의 경우에는, 연결 제어부(100)와 통신 서버(105) 간의 3 웨이 핸드 쉐이킹이 지연되는 상황이다. 이 경우를 대비하여, 제1 데이터 패킷이 유실될 수 있는 상황을 고려해야 하며, 이러한 경우에는 사용자 단말기에서 TCP 수준의 패킷 재전송 과정을 다시 거침으로써 연속된 서비스를 받게 해야 한다. 상기의 경우를 고려한 소정 시간의 예는 100 마이크로 초(Micro Second)가 된다. 상기 소정 시간에 대한 예는, 스위치나 허브 등의 중간 네트워크 장비 없이 TCP 연결 설정 시간을 포함한 TCP 2 웨이 핸드 쉐이킹에 소요되는 시간을 리눅스 커널 모드에서 실측한 값에 근거를 둔다.
본 발명의 실시 예에 따른 TCP 연결 관리 장치(110)에는 연결 정보 관리부(103)가 더 포함될 수 있다.
연결 정보 관리부(103)는 유효한 TCP 연결 정보를 실시간으로 저장하여 관리하는 기능을 수행한다. 유효한 TCP 연결 요청 또는 정상적인 TCP 연결로 판단된 연결뿐 아니라, 악의적인 TCP 연결에 대한 정보 역시 관리할 수 있음은 당연할 것이다.
연결 정보 관리부(103)가 관리하는 연결 정보에는, 사용자 단말기의 IP 주소, 사용자 단말기의 TCP 포트에 관한 정보, 서버의 TCP 포트에 관한 정보, 연결 시간 정보, 연결 상태 정보, 및 TCP 연결 순서 번호의 차이값 중 하나 이상이 포함될 수 있다.
연결 정보를 관리 및 검색하여 정상적으로 연결이 된 사용자 단말기에 대하여 계속적으로 통신 서버(105)와의 데이터 송수신을 허용하고, 중복적으로 연결에 대한 검증을 수행하지 않도록 함으로써, TCP 연결 관리에 있어서의 효율성을 높일 수 있는 효과가 있다.
연결 정보 관리부(103)는 연결 정보를 관리함에 있어서, 실질적인 연결 정보를 관리하는 동시에, 연결 정보에 대응하는 해쉬 키를 생성하여 관리하는 기능을 더 포함할 수 있다. 연결 정보를 관리함에 있어서 해쉬 키를 생성하여 관리함으로써, 연결 정보에 대한 빠른 검색이 가능하도록 하기 위함이다.
도 2는 TCP 연결 관리 장치의 연결 상태와 기능에 대해 도시한 것이다.
도 2를 참조하면, 복수의 사용자 단말기와 통신 서버(203) 사이에 TCP 연결 관리 장치(202)가 존재한다. 복수의 사용자 단말기에는 정상적인 연결 주체(200)와 악의적인 연결 주체(201)가 동시에 존재한다. 만약, TCP 연결 관리 장치(202)가 존재하지 않는다면, 악의적인 연결 주체(201)가 통신 서버(203)에 바로 연결될 수 있다.
이러한 경우, 통신 서버(203)에서 서비스 거부 공격을 차단하는 시스템을 사용한다 하더라도, 통신 서버(203)에 과도한 연결 요청이 이루어지는 것을 불가피하다.
TCP 연결 관리 장치(202)는 상기 언급한 통신 서버(203)로의 과도한 연결 요청을 중간에 간섭하여 차단한다. 그리고 정상적인 연결 주체(200)의 연결 요청만을 가려내어 통신 서버(203)와의 데이터 송수신을 허락함으로써, 효율적으로 서비스 거부 공격을 차단한다. 동시에, 서비스 거부 공격 차단에 있어서 통신 서버(203)의 기능을 유지할 수 있는 효과가 있는 것이다.
도 3은 사용자 단말기, TCP 연결 관리 장치, 및 서버의 데이터 교환을 도시한 것이다. 이하의 설명에 있어서, 도1 내지 도2에 대한 설명과 중복되는 내용에 대한 설명은 생략하기로 한다.
도 3을 참조하면, 사용자 단말기(300)로부터의 통신 서버(302)에 대한 TCP 연결 설정이, 곧바로 통신 서버(302)와의 3 웨이 핸드 쉐이킹으로 이루어지는 대신, TCP 연결 관리 장치(301)와의 3 웨이 핸드 쉐이킹으로 이루어진다. 즉, 사용자 단말기(300)는 TCP 연결 요청을 의미하는 SYN(a, 0) 패킷(연결 요청 패킷)을 송신하며, TCP 연결 관리 장치(301)는 SYN(a, 0) 패킷을 통신 서버(302) 대신 수신한다. TCP 연결 관리 장치(301)는, SYN(a, 0) 패킷의 ISN(a) 에 근거하여 생성한 쿠키를 이용하여 SYN ACK(C, a+1) 패킷(연결 요청 응답 패킷)을 사용자 단말기(300)에 송신한다. 사용자 단말기(300)는, SYN ACK(C, a+1) 패킷에 대한 응답 신호(a+1, C+1)를 다시 TCP 연결 요청 관리 장치(301)에 송신한다.
TCP 연결 요청 관리 장치(301)는 응답 신호(a+1, C+1)를 수신하면, 응답 신호(a+1, C+1)의 순서번호(a+1)에서 1을 뺀 값에 대응하는 패킷 내용과 SYN(a, 0)의 순서번호(a)에 대응하는 패킷 내용이 일치하는지를 판단한다. 일치하는 경우, TCP 연결을 유효한 것으로 판단하고, 제1 데이터 패킷(a+1, C+1)의 수신을 기다린다.
제1 데이터 패킷(a+1, C+1)이 수신되는 경우, TCP 연결 관리 장치(301)는 통신 서버(302)에 TCP 연결 요청 패킷((a, 0))을 송신한다. 통신 서버(302)는 TCP 연결 관리 장치와의 3 웨이 핸드 쉐이킹(연결 요청(a, 0), 연결 요청 응답(b, a+1), 응답(a+1, b+1))을 수행한다. 3 웨이 핸드 쉐이킹이 완료되어 통신 서버(302)가 데이터를 수신할 준비가 완료되면, 제1 데이터 패킷(a+1, b+1)이 통신 서버(302)에 송신되기 시작함으로써 사용자 단말기(300)와 통신 서버(302)간의 데이터 송수신이 시작된다.
TCP 연결 관리 장치(301)는, 통신 서버(302)와의 3 웨이 핸드 쉐이킹이 진행되는 동안, 사용자 단말기(300)로부터 수신한 제1 데이터 패킷을 임시 저장할 수 있다.
도 4는 연결 정보 관리부가 관리하는 데이터의 구성 예를 도시한 것이다.
도 4를 참조하면, 연결 정보 관리부(410)는 기본적으로 연결 제어부로부터 전달받는 연결 정보에 대해서, 소스(사용자 단말기) IP, 소스 포트, 목적지(통신 서버) 포트를 관리 단위(400)로 하여 연결 정보(403)를 관리한다. 연결 정보에는, 소스 IP, 소스 포트, 목적지 포트, 연결 상태, 시간정보, 아이피(IP) 식별기, 순서 번호 차이값이 포함될 수 있다. 따라서, 연결 정보 관리부(410)는, 관리 단위(400)를 식별자로 하여 연결 정보(403)를 데이터 베이스화 하여 관리하는 것이다.
또한, 연결 정보 관리부(401)는 연결 정보를 일일이 검색하는 대신 해시 키를 생성함으로써 효율적인 연결 정보 검색이 가능하도록 하기 위하여 해시 키를 관리 단위(400)에 근거하여 생성하는 기능을 더 포함할 수 있다.
따라서, 연결 정보 관리부(401)는 관리 단위(400)에 근거하여 해시키를 생성하는 해시 키 생성기(Hash Key Generator)(401)와 연결 정보(403)를 실시간으로 업데이트하여 저장하는 연결 정보 저장부(402)를 포함할 수 있다.
도 5는 본 발명의 실시 예에 따른 TCP 연결 관리 방법의 플로우차트이다. 이하의 설명에서, 도 1 내지 도 4에 대한 설명과 중복되는 부분은 그 설명을 생략하기로 한다.
도 5를 참조하면, 본 발명의 실시 예에 따른 TCP 연결 관리 방법은, 먼저 연결 제어부가 사용자 단말기로부터 연결 요청인 SYN(a, 0) 패킷을 수신하는 단계(S1)가 수행된다. 연결 제어부가 수신한 SYN(a, 0) 패킷은 검증키 생성부 및 연결 검증부에 전달된다.
검증키 생성부는, SYN(a, 0) 패킷에 근거하여 TCP 연결 요청이 유효한지에 대해 판단하는 수단인 검증키를 생성하는 단계(S2)를 수행한다. 바람직하게는, 검증키는 SYN(a, 0)에 포함된 ISN(초기 순서 번호, a)를 쿠키로 하여 생성된다. 이후, 검증키 생성부는 검증키를 포함한 연결 요청(SYN) 응답(SYN ACK(C, a+1))을 연결 제어부를 통해 사용자 단말기에 전달하는 단계(S3)를 수행한다. SYN ACK(C, a+1)에 대한 사용자 단말기의 응답 신호(a+1, C+1)는, 연결 제어부를 통해 연결 검증부에 전달된다(S4).
연결 검증부는, SYN(a, 0) 및 응답 신호(a+1, C+1)를 전달받게 되면, 연결 요청, 즉 SYN(a, 0) 패킷과 응답 신호(a+1, C+1)에 포함된 패킷을 분석하는 단계(S4)를 수행한다. 상기 언급한 분석 단계(S4)는 본 발명의 실시 예에서, 검증키에 대한 사용자 단말기로부터의 응답 신호(a+1, C+1)에 포함된 응답 신호 패킷 정보와 응답 신호 패킷의 순서 번호보다 1이 작은 값을 갖는 순서 번호에 대응하는 SYN(a, 0) 패킷에 포함된 패킷 정보를 추출하는 단계이다.
S4 단계가 완료되면, 검증키에 대한 사용자 단말기로부터의 응답 신호(a+1, C+1)에 포함된 응답 신호 패킷 정보와 응답 신호 패킷의 순서 번호보다 1이 작은 값을 갖는 순서 번호에 대응하는 SYN(a, 0) 패킷에 포함된 패킷 정보가 동일한지 판단하는 단계(S5)가 수행된다. S5 단계는 간략히 말하면, 연결 요청, 즉 SYN 패킷과 응답 신호를 분석한 결과가 일치하는 지 판단하는 단계를 의미한다.
연결 검증부는 S5 단계에서 SYN 패킷과 응답 신호 분석 결과가 일치하지 않는다면, 서비스 거부 공격을 의미하는 악의적인 연결 요청으로 판단하여 TCP 연결을 차단하는 것으로 판단한다. 연결 검증부의 판단에 따라서, 연결 제어부는 TCP 연결을 차단하는 단계(S8)를 수행한다.
연결 검증부는 S5 단계에서 SYN 패킷과 응답 신호 분석 결과가 일치하는 것으로 판단되면, 연결 제어부가 사용자 단말기로부터 제1 데이터 패킷(a+1, C+1)을 수신하는지 판단하는 단계(S6)를 수행한다. 연결 제어부로 제1 데이터 패킷이 수신되지 않는다면, 역시 악의적인 TCP 연결 요청으로 판단하는 명령을 연결 제어부에 송신하고, 연결 제어부는 S8 단계를 수행하게 된다.
제1 데이터 패킷이 연결 제어부에 수신되면, 연결 제어부는 데이터를 수신하는 동시에 연결 정보를 저장하도록 연결 정보를 연결 정보 관리부에 전달하는 단계(S7)를 수행한다.
물론 상기 언급한 바와 같이, 연결 제어부는 서버에서 사용자 단말기와의 연결을 설정하는 데 필요한 소정 시간 동안 제1 데이터 패킷을 임시로 저장하는 기능을 더 포함할 수 있을 것이다. 이후, 제1 데이터 패킷을 포함하는 복수의 데이터 패킷이 서버와 사용자 단말기 사이에서 송수신 될 것이다.
상기 언급한 본 발명의 실시 예에 따른 TCP 연결 관리 장치 및 방법에 대한 설명은 설명적인 용도로만 사용되어야 할 것이며, 특허청구범위를 제한하는 것은 아니다. 또한, 본 발명의 실시 예 이외에도, 본 발명과 동일한 기능을 하는 균등한 발명 역시 본 발명의 권리 범위에 속할 것임은 당연할 것이다.
110, 202, 301: TCP 연결 관리 장치
100: 연결 제어부
101: 검증키 생성부
102: 연결 검증부
103, 410: 연결 정보 관리부
104: 네트워크
105, 203, 302: 서버
200: 정상적인 연결 주체(사용자 단말기)
201: 악의적인 연결 주체(사용자 단말기)
300: 사용자 단말기
400: 관리 단위
401: 해시키 생성기
402: 연결 정보 저장부
403: 연결 정보

Claims (19)

  1. TCP 연결을 위해 수신한 SYN 패킷에 근거하여 검증키를 생성하여 사용자 단말기에 전달하는 검증키 생성부;
    전달된 상기 검증키에 대한 사용자 단말기로부터의 응답 신호를 분석한 결과와 상기 SYN 패킷에 근거하여 유효한 TCP 연결인지를 판단하는 연결 검증부; 및
    상기 유효한 TCP 연결인지에 대한 판단 결과에 근거하여 상기 사용자 단말기로부터 통신 서버로의 데이터 패킷 송수신을 제어하는 연결 제어부를 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 장치.
  2. 청구항 1에 있어서,
    상기 연결 검증부는
    유효한 TCP 연결인 경우 사용자 단말기로부터 상기 연결 제어부로의 제1 데이터 패킷의 수신 여부를 판단하고, 상기 제1 데이터 패킷이 수신되는 경우 정상적인 TCP 연결 설정으로 판단하여 사용자 단말기와 통신 서버간의 데이터 송수신을 허용하는 기능을 더 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 장치.
  3. 청구항 2에 있어서,
    상기 연결 제어부는,
    상기 제1 데이터 패킷을 수신 시 상기 통신 서버가 사용자 단말기와의 데이터 송수신을 위한 TCP 연결을 설정하기 위해 미리 설정된 소정 시간 동안 상기 제1 데이터 패킷을 임시 저장하는 기능을 더 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 장치.
  4. 청구항 1에 있어서,
    상기 검증키 생성부는,
    상기 SYN 패킷에 포함된 초기 순서 번호(ISN, Initial Sequence Number)에 근거하여 상기 검증키를 생성하는 것을 특징으로 하는 안전한 TCP 연결 관리 장치.
  5. 청구항 1에 있어서,
    상기 연결 검증부는,
    전달된 상기 검증키에 대한 사용자 단말기로부터의 응답 신호에 포함된 응답 신호 패킷 정보와 상기 응답 신호 패킷의 순서 번호보다 1이 작은 값을 갖는 순서 번호에 대응하는 SYN 패킷에 포함된 패킷 정보가 동일할 경우 유효한 TCP 연결로 판단하는 것을 특징으로 하는 안전한 TCP 연결 관리 장치.
  6. 청구항 1에 있어서,
    상기 SYN 패킷은,
    상기 사용자 단말기의 IP주소, 상기 사용자 단말기의 TCP 포트, 연결하고자 하는 서버의 IP주소, 및 상기 서버의 TCP 포트 중 하나 이상을 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 장치.
  7. 청구항 1에 있어서,
    유효한 TCP 연결 정보를 실시간으로 저장하여 관리하는 연결 정보 관리부를 더 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 장치.
  8. 청구항 7에 있어서,
    상기 연결 정보 관리부는,
    상기 사용자 단말기의 IP주소, 상기 사용자 단말기의 TCP 포트, 상기 서버의 TCP 포트, 연결 시간 정보, 연결 상태, 및 TCP 연결 순서 번호 차이값 중 하나 이상을 연결 정보 테이블에 저장하는 것을 특징으로 하는 안전한 TCP 연결 관리 장치.
  9. 청구항 7에 있어서,
    상기 연결 정보 관리부는,
    상기 TCP 연결 정보에 대응하는 해쉬 키를 생성하여 관리하는 기능을 더 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 장치.
  10. 검증키 생성부가 TCP 연결을 위해 수신한 SYN 패킷에 근거하여 검증키를 생성하여 사용자 단말기에 전달하는 단계;
    연결 검증부가 전달된 상기 검증키에 대한 사용자 단말기로부터의 응답 신호를 분석한 결과와 상기 SYN 패킷에 근거하여 유효한 TCP 연결인지를 판단하는 단계; 및
    연결 제어부가 상기 유효한 TCP 연결인지에 대한 판단 결과에 근거하여 상기 사용자 단말기로부터 통신 서버로의 데이터 패킷 송수신을 제어하는 단계를 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 방법.
  11. 청구항 10에 있어서,
    상기 유효한 TCP 연결지를 판단하는 단계 이후에 유효한 TCP 연결로 판단되는 경우 상기 연결 검증부가 사용자 단말기로부터 상기 연결 제어부로의 제1 데이터 패킷의 수신 여부를 판단하는 단계를 더 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 방법.
  12. 청구항 11에 있어서,
    상기 제1 데이터 패킷의 수신 여부를 판단하는 단계 이후에,
    상기 연결 제어부에 상기 제1 데이터 패킷이 수신되는 경우 연결 검증부가 정상적인 TCP 연결 설정으로 판단하여 사용자 단말기와 통신 서버간의 데이터 송수신을 허용하는 단계를 더 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 방법.
  13. 청구항 11에 있어서,
    상기 제1 데이터 패킷의 수신 여부를 판단하는 단계 이후에,
    상기 연결 제어부가 상기 제1 데이터 패킷을 수신 시 상기 통신 서버가 사용자 단말기와의 데이터 송수신을 위한 TCP 연결을 설정하기 위해 미리 설정된 소정 시간 동안 상기 제1 데이터 패킷을 임시 저장하는 단계를 더 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 방법.
  14. 청구항 10에 있어서,
    상기 검증키를 생성하여 사용자 단말기에 전달하는 단계는,
    SYN 패킷에 포함된 초기 순서 번호(ISN, Initial Sequence Number)에 근거하여 상기 검증키를 생성하는 단계인 것을 특징으로 하는 안전한 TCP 연결 관리 방법.
  15. 청구항 10에 있어서,
    상기 유효한 TCP 연결인지를 판단하는 단계는,
    전달된 상기 검증키에 대한 사용자 단말기로부터의 응답 신호에 포함된 응답 신호 패킷 정보와 상기 응답 신호 패킷의 순서 번호보다 1이 작은 값을 갖는 순서 번호에 대응하는 SYN 패킷에 포함된 패킷 정보가 동일할 경우 유효한 TCP 연결로 판단하는 단계인 것을 특징으로 하는 안전한 TCP 연결 관리 방법.
  16. 청구항 10에 있어서,
    상기 연결 요청 패킷은,
    상기 사용자 단말기의 IP주소, 상기 사용자 단말기의 TCP 포트, 연결하고자 하는 서버의 IP주소, 및 상기 서버의 TCP 포트 중 하나 이상을 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 방법.
  17. 청구항 10에 있어서,
    상기 유효한 TCP 연결인지를 판단하는 단계 이후에 연결 정보 관리부가 유효한 TCP 연결 정보를 실시간으로 저장하여 관리하는 단계를 더 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 방법.
  18. 청구항 17에 있어서,
    상기 유효한 TCP 연결 정보를 실시간으로 저장하여 관리하는 단계는,
    상기 사용자 단말기의 IP주소, 상기 사용자 단말기의 TCP 포트, 상기 서버의 TCP 포트, 연결 시간 정보, 연결 상태, 및 TCP 연결 순서 번호 차이값 중 하나 이상을 연결 정보 테이블에 저장하는 단계인 것을 특징으로 하는 안전한 TCP 연결 관리 방법.
  19. 청구항 17에 있어서,
    상기 유효한 TCP 연결 정보를 실시간으로 저장하여 관리하는 단계는
    상기 연결 정보 관리부가 상기 TCP 연결 정보에 대응하는 해쉬 키를 생성하여 관리하는 단계를 더 포함하는 것을 특징으로 하는 안전한 TCP 연결 관리 방법.
KR1020100065404A 2009-12-18 2010-07-07 안전한 tcp 연결 관리 장치 및 방법 KR101333305B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020090127054 2009-12-18
KR20090127054 2009-12-18

Publications (2)

Publication Number Publication Date
KR20110070750A KR20110070750A (ko) 2011-06-24
KR101333305B1 true KR101333305B1 (ko) 2013-12-02

Family

ID=44402219

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100065404A KR101333305B1 (ko) 2009-12-18 2010-07-07 안전한 tcp 연결 관리 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101333305B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535827B (zh) * 2019-07-17 2021-08-24 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 实现多连接管理的tcp协议全卸载ip核的方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010104624A (ko) * 2000-05-12 2001-11-26 포만 제프리 엘 Tcp syn 플러딩 공격을 좌절시키기 위한 방법 및시스템
KR20040056309A (ko) * 2002-12-23 2004-06-30 한국전자통신연구원 네트워크를 통해 스트리밍 데이터를 고속으로 송수신하기위한 네트워크-스토리지 연결 장치
KR20100066170A (ko) * 2008-12-09 2010-06-17 한국전자통신연구원 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010104624A (ko) * 2000-05-12 2001-11-26 포만 제프리 엘 Tcp syn 플러딩 공격을 좌절시키기 위한 방법 및시스템
KR20040056309A (ko) * 2002-12-23 2004-06-30 한국전자통신연구원 네트워크를 통해 스트리밍 데이터를 고속으로 송수신하기위한 네트워크-스토리지 연결 장치
KR20100066170A (ko) * 2008-12-09 2010-06-17 한국전자통신연구원 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법

Also Published As

Publication number Publication date
KR20110070750A (ko) 2011-06-24

Similar Documents

Publication Publication Date Title
CN108429730B (zh) 无反馈安全认证与访问控制方法
US8082578B2 (en) Intelligent firewall
US9237168B2 (en) Transport layer security traffic control using service name identification
US7823194B2 (en) System and methods for identification and tracking of user and/or source initiating communication in a computer network
US20140298021A1 (en) Method and system for storing information by using tcp communication
WO2010031288A1 (zh) 一种僵尸网络的检测方法和系统
JP2004507978A (ja) ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法
CN102655509B (zh) 一种网络攻击识别方法及装置
CA2506418C (en) Systems and apparatuses using identification data in network communication
CN115378625B (zh) 一种跨网信息安全交互方法及系统
Guenane et al. Reducing DDoS attacks impact using a hybrid cloud-based firewalling architecture
CN102957704B (zh) 一种确定mitm攻击的方法、装置及系统
KR101263381B1 (ko) TCP/IP네트워크에서의 서비스 거부 공격(DoS) 방어 방법 및 방어 장치
CN115603932A (zh) 一种访问控制方法、访问控制系统及相关设备
CN113904826B (zh) 数据传输方法、装置、设备和存储介质
CN114390049A (zh) 一种应用数据获取方法及装置
KR101333305B1 (ko) 안전한 tcp 연결 관리 장치 및 방법
JP6488001B2 (ja) コンピュータ・ネットワーク・インフラストラクチャにおける外部コンピュータシステムのブロック解除方法、そのようなコンピュータ・ネットワーク・インフラストラクチャを有する分散コンピュータネットワーク、およびコンピュータプログラム製品
WO2017079980A1 (zh) 一种计费欺诈的检测方法及装置
US20080052402A1 (en) Method, a Computer Program, a Device, and a System for Protecting a Server Against Denial of Service Attacks
KR102027434B1 (ko) 보안 장치 및 이의 동작 방법
CN107579984B (zh) 一种面向网络层的安全通信链路建立方法
US20060253603A1 (en) Data communication system and method
KR20200009366A (ko) 슬로우 에이치티티피 포스트 도스 공격 탐지장치
CN117544424B (zh) 基于泛在联接的多协议智慧园区管控平台

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant