KR101358794B1 - 이상 패킷 차단 시스템 및 방법 - Google Patents

이상 패킷 차단 시스템 및 방법 Download PDF

Info

Publication number
KR101358794B1
KR101358794B1 KR1020120031661A KR20120031661A KR101358794B1 KR 101358794 B1 KR101358794 B1 KR 101358794B1 KR 1020120031661 A KR1020120031661 A KR 1020120031661A KR 20120031661 A KR20120031661 A KR 20120031661A KR 101358794 B1 KR101358794 B1 KR 101358794B1
Authority
KR
South Korea
Prior art keywords
blocking
network switch
target
abnormal packet
overload
Prior art date
Application number
KR1020120031661A
Other languages
English (en)
Other versions
KR20130116456A (ko
Inventor
오후균
Original Assignee
에스케이브로드밴드주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이브로드밴드주식회사 filed Critical 에스케이브로드밴드주식회사
Priority to KR1020120031661A priority Critical patent/KR101358794B1/ko
Publication of KR20130116456A publication Critical patent/KR20130116456A/ko
Application granted granted Critical
Publication of KR101358794B1 publication Critical patent/KR101358794B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/50Overload detection or protection within a single switching element
    • H04L49/501Overload detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 고객 단말이 과도한 패킷을 전송하는 경우 가입자망에서 최하위 네트워크 스위치가 고객 단말로부터 전송받은 이상 패킷을 감지하고 이를 차단하기 위해 고객 단말 또는 공격 대상 서버 중 하나의 차단 대상을 추출하여 차단 대상의 접속을 허용 또는 차단시킴으로써 하위 망에서의 차단 조치를 통해 망 피해를 최소화하는 이상 패킷 차단 시스템 및 방법을 제공한다.

Description

이상 패킷 차단 시스템 및 방법{DISTRIBUTED DENIAL OF SERVICE ATTACK PROTECTION SYSTEM AND METHOD}
본 발명은 이상 패킷 차단 시스템 및 방법에 관한 것으로, 상세하게는 인터넷에 접속된 여러 대의 고객 단말을 일제히 동작시켜 특정 사이트를 고의적으로 공격하는 디도스(DDoS) 공격과 같은 이상 패킷이 발생한 경우 가입자망에서 이상 패킷을 감지하고 고객 단말 또는 공격 대상 서버 중 하나의 차단 대상을 추출하여 차단 대상의 접속을 허용 또는 차단시키는 시스템 및 방법에 관한 것이다.
디도스(DDoS: Distribute Denial of Service attack(분산서비스거부))는 광대역 망에 연결되어 인터넷을 사용하는 여러 대의 유저 단말을 이용하여 엄청난 분량의 데이터를 하나의 특정 사이트에만 집중적으로 전송함으로써 해당 특정 사이트의 정상적인 기능을 방해하는 악의적인 사이버 공격을 말한다.
이러한 디도스 공격을 위한 방법은 공격자가 보안이 취약한 여러 곳의 컴퓨터 단말에 악성 코드를 설치하여 감염시킨 뒤 악성 코드에게 공격할 서버와 시간을 지정해 두면, 이들 감염된 컴퓨터 단말(이하, 좀비 단말)이 공격 대상으로 지정된 목적지(서버, PC 등)에 고의적으로 수많은 패킷을 전송하여 부하가 걸리도록 함으로써 서비스를 못하게 하는 일종의 해킹 방법이다.
이러한 디도스 공격을 방어하는 방법으로는 서비스를 제공하는 서버 시스템을 보호하는 방법, 인터넷 서비스 제공자 또는 기관에서 좀비 컴퓨터 단말로부터 망으로 들어오는 이상 패킷을 사전에 차단하는 방법, 클라이언트 컴퓨터 단말에서 차단하는 방법 등이 있다.
첫째, 서버 시스템을 보호하는 방법으로는 디도스 공격 패킷을 감지하는 디도스 전용 장비를 설치하여 디도스 공격 패킷을 공격 대상 서버 앞단에서 제거하는 방법이다.
둘째, 인터넷 서비스 제공자 또는 기관에서 좀비 컴퓨터 단말로부터 망으로 들어오는 이상 패킷을 사전에 차단하는 방법은 L2 보안 스위치 또는 NAC(Network Access Control)를 이용할 수 있다.
상기의 첫째 및 둘째 방법은 디도스 공격을 하는 좀비 컴퓨터 단말을 치료하지 않는 이상 디도스 공격 패킷이 계속 발생하는 단점이 있다.
셋째, 클라이언트 단말 측면에서 디도스 공격을 차단할 수 있는 방법은 바이러스 백신을 이용하는 방법이다. 그러나, 보통 바이러스 백신은 이미 알려진 컴퓨터 바이러스를 제거할 수 있으나 알려지지 않은 신종 또는 변종 컴퓨터 바이러스를 치료하지 못하는 단점이 있다. 따라서, 신종 또는 변종 컴퓨터 바이러스에 의하여 누군가 먼저 해당 바이러스에 감염되어 피해를 본 후에야 대응이 가능한 문제점 있다. 또한, 바이러스가 발견된 후 백신이 나오기까지 시간이 걸리므로 네트워크 공격에 효율적으로 대응하지 못하는 문제점이 있다.
특히, 두 번째 차단 방법은 수많은 L2 보안 스위치 또는 NAC(Network Accesss Control)와 대응하여 디도스 공격 패킷을 차단하는 장치를 구축해야 하므로 이로 인한 구축, 유지 보수에 필요한 비용이 많이 소요되는 문제점이 있다.
본 발명은 상기의 문제점을 해결하기 위해 창안된 것으로서, 고객 단말이 과도한 패킷을 전송하는 경우 가입자망에서 최하위 네트워크 스위치가 고객 단말로부터 전송받은 이상 패킷을 감지하고 이를 차단하기 위해 고객 단말 또는 공격 대상 서버 중 하나의 차단 대상을 추출하여 차단 대상의 접속을 허용 또는 차단시킴으로써 하위 망에서의 차단 조치를 통해 망 피해를 최소화하는 이상 패킷 차단 시스템 및 방법을 제공하는 데 그 목적이 있다.
이를 위하여 본 발명의 제1 측면에 따르면, 본 발명에 따른 이상 패킷 차단 시스템은, 다수의 고객 단말로부터 송출되는 이상 패킷으로부터 과부하 발생 여부를 감지하는 네트워크 스위치; 상기 네트워크 스위치로부터 과부하 발생 정보를 수신하고, 상기 네트워크 스위치를 통해 수집한 이상 패킷의 정보를 분석하여 차단할 대상을 추출하는 이상 패킷 분석 장치; 및 상기 이상 패킷 분석 장치에서 추출한 차단 대상의 액세스 정보를 이용하여 차단 필터를 작성하고 상기 차단 필터를 네트워크 스위치로 전달하는 접속 차단 관리 장치를 포함하며, 상기 네트워크 스위치는 상기 접속 차단 관리 장치로부터 전달받은 차단 필터에 기초하여 차단 대상의 접속을 차단시키는 것을 특징으로 한다.
본 발명의 제2 측면에 따르면, 본 발명의 이상 패킷 차단 방법은, 다수의 고객 단말과 네트워크 장비간을 연결시키는 네트워크 스위치에서 상기 다수의 고객 단말로부터 송출되는 이상 패킷에 의해 과부하 발생 여부를 감지하는 단계; 과부하 발생시, 이상 패킷 분석 장치가 상기 네트워크 스위치로부터 과부하 발생 정보를 수신하는 단계; 상기 이상 패킷 분석 장치가 상기 네트워크 스위치를 통해 수집한 이상 패킷의 정보를 분석하고 차단할 대상을 추출하는 단계; 상기 차단할 대상의 액세스 정보를 이용하여 접속 차단 관리 장치가 차단 필터를 작성하고 상기 차단 필터를 상기 네트워크 스위치로 전달하는 단계; 및 상기 네트워크 스위치가 상기 접속 차단 관리 장치로부터 전달받은 차단 필터에 기초하여 해당 차단 대상의 접속을 차단시키는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 디도스 공격과 같은 이상 패킷을 망 하위요소인 가입자망 장비에서 감지하고 이를 차단함으로써 망 피해를 최소화할 수 있는 효과가 있다.
또한, 디도스 공격을 차단하고자 좀비 컴퓨터인 고객 단말을 차단한 경우 해당 고객 단말에게 직접 방문하여 사후 관리해 주는 서비스를 제공함으로써 고객 서비스의 만족도를 향상시킬 수 있는 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 이상 패킷 차단 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 패킷 분석을 위한 덤프(dump) 정보를 나타낸 도면이다.
도 3은 본 발명의 다른 실시 예에 따른 이상 패킷 차단 시스템의 구성을 나타낸 도면이다.
도 4는 본 발명의 일 실시 예에 따른 이상 패킷 차단 방법을 설명하는 흐름도이다.
도 5는 본 발명의 다른 실시 예에 따른 이상 패킷 차단 방법에서 고객 차단시 사후 고객 서비스를 설명하는 흐름도이다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시 예를 상세하게 설명한다. 본 발명의 구성 및 그에 따른 작용 효과는 이하의 상세한 설명을 통해 명확하게 이해될 것이다. 본 발명의 상세한 설명에 앞서, 동일한 구성요소에 대해서는 다른 도면 상에 표시되더라도 가능한 동일한 부호로 표시하며, 공지된 구성에 대해서는 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 구체적인 설명은 생략하기로 함에 유의한다.
본 발명은 디도스 공격과 같은 이상 패킷으로 인한 네트워크 장애를 미연에 방지하기 위해 좀비 단말로부터 송출되는 아웃바운드(out-bound) 패킷을 분석하고 이상 패킷의 발생시 차단하는 방법을 적용한다.
본 발명에서 언급하는 좀비 단말은 인터넷을 사용하는 고객 단말에 고의적으로 디도스 바이러스가 설치되어 감염된 고객 단말을 의미한다.
공격 대상 서버는 좀비 단말이 일시에 이상 패킷을 송출하여 시스템 동작을 마비시키는 대상으로, 공격을 당한 피해 서버가 된다. 이러한 공격 대상 서버는 망 장비, 기업이나 특정 기관의 서버, 기타 서비스를 제공하는 핵심 장비 등을 포함할 수 있다.
상기의 구성 요소를 참조하여 본 발명의 구성을 구체적으로 살펴본다.
도 1은 본 발명의 일 실시 예에 따른 이상 패킷 차단 시스템의 구성을 나타낸 도면이고, 도 2는 본 발명의 패킷 분석을 위한 덤프(dump) 정보를 나타낸 도면이다.
본 발명의 일 실시 예에 따른 이상 패킷 차단 시스템은 도 1에 도시한 바와 같이, 가입자망에 위치하여 가입자의 고객 단말(10)과 연결되는 네트워크 스위치들(20, 22), 이상 패킷 분석 장치(30), 접속 차단 관리 장치(40), 공격 대상 장치(50)를 포함한다.
고객 단말(10)은 가입자망에 연결되어 인터넷을 사용하는 모든 단말을 포함하며, 고객 단말(10)이 공격자 단말에 의해 디도스 바이러스에 감염되면 좀비 단말이라고 한다. 감염된 고객 단말(10)은 디도스 바이러스를 통해 받은 IP 주소로 정해진 시간에 일제히 다량의 패킷을 보냄으로써 디도스 공격을 한다. 여기서, 디도스 바이러스를 통해 받은 IP 주소는 공격 대상 장치(50)로 목적지 주소가 된다.
공격 대상 장치(50)는 특정 인터넷 사이트가 될 수 있고, 네트워크 장비, 기업 장비, 서비스용 서버가 될 수 있다.
가입자망에 위치한 네트워크 스위치들(20, 22)은 가입자의 고객 단말(10)과 네트워크 장비를 연결하여 다양한 데이터를 목적지 포트로 전달한다. 이러한 네트워크 스위치들(20, 22)은 L2, L3 스위치를 포함할 수 있으나, 본 발명에서는 L3 스위치로 볼 수 있다.
본 발명에서 네트워크 스위치들(20, 22)은 가입자의 고객 단말(10)과 연결되는 최하위 네트워크 스위치(20)와, 상위의 공격 대상 서버(50)와 연결되는 최상위 네트워크 스위치(22)로 구분될 수 있다. 최하위 네트워크 스위치(20)는 가입자의 고객 단말(10)로부터 송출되는 패킷을 수신하고 수신한 패킷을 목적지와 대응되는 최상위 네트워크 스위치(22)로 전달한다.
또한, 본 발명의 최하위 네트워크 스위치(20)는 고객 단말(10)로부터 송출되는 패킷에 대하여 부하를 산출하고, 산출한 부하가 기 설정한 임계치보다 높은지에 따라 과부하 발생 여부를 판단한다. 과부하가 발생하면 최하위 네트워크 스위치(20)가 이상 패킷 분석 장치(30)로 과부하 발생 정보를 전달하여 알리고, 고객 단말(10)로부터 송출되는 패킷의 정보를 이상 패킷 분석 장치(30)로 전달한다.
통상 디도스 공격은 ICMP(Internet Control Message Protocol) 스머프(smurf) 공격, IP 스푸핑(spoofing), SYN 플루딩(Synchronize Sequence Numbers flooding), HTTP 커넥션 플루딩 등 다양한데, 이들의 공통점은 좀비 단말들이 공격 대상 서버(50)로 하여금 응답을 하도록 하는 요청 패킷을 전송한다는 점이다. 따라서, 통상적으로 동일한 출발지 주소로부터 동일한 목적지 주소로 1초에 20회 이상의 요청 패킷이 전송되면 디도스 공격으로 판단할 수 있다.
따라서, 다수의 고객 단말(10)과 연결되어 있는 네트워크 스위치(20)가 고객 단말(10)로부터 1초에 20회 이상의 방대한 패킷이 전송되면 이상 패킷이 발생됨을 감지할 수 있다.
이렇게 과부하가 발생한 후, 최하위 네트워크 스위치(20) 및 최상위 네트워크 스위치(22)는 접속 차단 관리 장치(40)로부터 차단 정보를 제공받고 차단 정보에 따라 디도스 공격을 차단할 수 있다. 차단 정보는 차단 필터링을 수행하는 명령어로 일종의 필터(filter)일 수 있다.
이상 패킷 분석 장치(30)는 네트워크 스위치(20, 22)로부터 특히 최하위 네트워크 스위치(20)로부터 과부하 발생 정보를 수신하고, 최하위 네트워크 스위치(20)로부터 전달받은 패킷의 정보를 분석한다. 그리고, 이상 패킷 분석 장치(30)는 분석한 패킷의 정보로부터 차단할 대상을 추출한다. 차단할 대상은 이상 패킷을 전송한 고객 단말(10) 또는 고객 단말(10)이 공격하는 공격 대상 장치(50) 중 어느 하나가 될 수 있다. 또, 고객 단말(10)과 공격 대상 장치(50) 모두를 차단할 대상으로 추출할 수 있다.
이처럼, 차단 대상의 추출은 패킷의 정보로부터 차단할 대상에 대한 액세스 정보를 추출하는 것과 대응된다. 여기서, 액세스 정보는 ip주소, L4 포트 번호, 프로토콜, MAC 주소 등을 포함한다. 패킷의 정보는 패킷의 출발지 및 목적지, 부하 등에 관한 내역 정보를 추출하기 위한 것으로, 도 2에 도시한 바와 같이 패킷에 대응하는 소스 ip주소, 목적지 ip주소, 포트 번호, 인터넷 제어 메시지 프로토콜(Internet Control Message Protocol: ICMP)과 인터넷 그룹 관리 프로토콜(Internet Group Management Protocol: IGMP) 및 주소 결정 프로토콜(Address Resolution Protocol: ARP) 등을 포함한 일부 프로토콜, MAC 주소, 과부하률, 과부하 분포도 등을 포함할 수 있다. 이러한 패킷의 정보는 tcp dump, 네트플로우(netflow), sflow 등을 포함한 형식으로 추출한다.
접속 차단 관리 장치(40)는 이상 패킷 분석 장치(30)에서 추출한 차단 대상의 액세스 정보를 이용하여 차단 필터를 작성하고, 작성한 차단 필터를 네트워크 스위치(20)에 적용하도록 최하위 네트워크 스위치(20)로 전달한다. 차단 필터는 장비에 따라 다양한 제어 방식이 있다. 네트워크 접속에 관한 리스트를 설정하고 이 리스트에 따라 서비스에 대한 액세스를 제어하는 접속 제어 리스트(Access Control List: ACL) 기반 차단 방식, OSI 네트워크 계층에서 IP정보를 조사하여 접근 제어 규칙에 패킷이 일치하면 통과시키고 그렇지 않으면 차단하는 룰(Rule) 기반 차단 방식 등을 포함한다.
따라서, 본 발명의 일 실시 예에 따른 시스템에서는 고객 단말(10)로부터 송출되는 패킷에 의해 가입자망의 네트워크 스위치(20)에 임계치 이상으로 과부하가 발생하면 이상 패킷 분석 장치(30)가 네트워크 스위치(20)에서 발생한 패킷을 분석하여 차단 대상을 추출하고, 네트워크 스위치(20)에서 차단 대상의 접속을 허용 또는 거부함으로써 하위 망에서 디도스 공격을 차단하여 이로 인한 망 피해를 최소화한다.
도 3은 본 발명의 다른 실시 예에 따른 이상 패킷 차단 시스템의 구성을 나타낸 도면이다.
본 발명의 다른 실시 예에 따르면, 이상 패킷 차단 시스템은 다수의 고객 단말(10)과 연결되는 가입자망의 네트워크 스위치들(20, 22), 이상 패킷 분석 장치(30), 접속 차단 관리 장치(40), 공격 대상 장치(50), DHCP 관리 장치(60), 점검 장치(70)를 포함한다.
이러한 구성의 이상 패킷 차단 시스템은 일 실시 예에서와 마찬가지로, 네트워크 스위치(20)로 송출되는 패킷으로부터 과부하가 발생하면 이를 네트워크 스위치(20)가 감지하고 네트워크 스위치(20)에서 과부하 발생 정보와 패킷의 정보를 이상 패킷 분석 장치(30)로 전달한다. 이상 패킷 분석 장치(30)는 네트워크 스위치(20)로 송출되는 패킷의 정보를 분석하여 차단할 대상을 추출하고, 추출한 차단 대상의 액세스 정보를 접속 차단 관리 장치(40)로 전달하며, 접속 차단 관리 장치(40)는 차단 대상의 액세스 정보를 이용하여 차단 필터를 작성하여 네트워크 스위치(20)에 적용하도록 전달한다.
이때, 차단 대상이 고객 단말인 경우, 이상 패킷 분석 장치(30)는 DHCP 관리 장치(60)와 연동하여 차단된 고객 단말(10)을 복구하는 데 필요한 서비스를 제공한다.
즉, DHCP 관리 장치(60)는 다수의 고객 단말(10)에게 고유의 액세스 정보(IP 주소)를 할당해 주는 장비로, 각 고객 단말(10)에 대한 액세스 정보와 함께 고객 정보를 관리한다.
DHCP 관리 장치(60)는 이상 패킷 분석 장치(30)에서 추출한 차단 대상의 액세스 정보를 전달받으면, 기 저장된 액세스 정보와 매칭되는 고객 정보를 조회한다.
점검 장치(70)는 DHCP 관리 장치(60)에서 조회한 고객 정보를 점검 대상으로 등록하고 등록한 고객에 대하여 사후 관리 서비스를 제공하도록 요청한다. 사후 관리 서비스는 네트워크 스위치(20)에서 차단된 고객 단말(10)을 점검하여 감염 바이러스를 치료해 주는 등의 고객 서비스를 말한다. 이는 점검 장치(70)를 통해 고객 단말(10)과 연계하여 처리할 수도 있고, 직접 작업자의 방문을 통해 처리할 수도 있다.
따라서, 본 발명의 다른 실시 예에 따른 시스템에서는 임계치 이상으로 부하가 발생한 이상 패킷을 감지하고 이상 패킷의 원인인 고객 단말(10)의 액세스 정보를 추출하여 차단한다. 이후, DHCP 관리 장치(60) 및 점검 장치(70)와 연동하여 차단한 액세스 정보에 매칭되는 고객 정보를 조회하고 고객 정보를 사후 관리 서비스에 자동 등록하여 디도스 바이러스의 치료, 단말 복구 등의 서비스를 제공한다. 이로써, 디도스 공격이 발생하더라도 하위 망에서 네트워크 스위치를 통해 차단이 가능하므로 망 피해를 최소화할 수 있다. 또, 네트워크 스위치가 고객 단말과 연결되는 L3 스위치인 경우, L2 스위치에 적용하는 것에 비해 관리 비용을 절감할 수 있다.
이하, 이상의 각 시스템을 적용하여 이상 패킷을 자동 차단하는 방법에 대하여 설명한다.
도 4는 본 발명의 일 실시 예에 따른 이상 패킷 차단 방법을 설명하는 흐름도이다.
먼저, 공격자 단말에 의해 감염된 다수의 고객 단말(10)은 네트워크 스위치(20)를 통해 정해진 목적지(즉, 공격 대상 장치)로 다량의 패킷을 전송하여 공격한다(S10).
네트워크 스위치(20)는 다수의 고객 단말(10)로부터 송출되는 다량의 패킷에 대하여 부하를 산출하고 산출한 부하가 기 설정한 임계보다 높은지에 따라 과부하 발생 여부를 판단한다(S11).
과부하가 발생하면, 네트워크 스위치(20)는 과부하 발생 정보를 이상 패킷 분석 장치(30)로 전달하여 알리고, 고객 단말(10)로부터 송출되는 패킷의 정보(tcpdump, netflow, sflow 등)를 함께 이상 패킷 분석 장치(30)로 전달한다(S12, S13).
이후, 이상 패킷 분석 장치(30)는 네트워크 스위치(20)로부터 전달받은 패킷의 정보를 분석하여 차단할 대상을 추출한다(S14, S15).
패킷의 정보에는 각 패킷에 대응하는 소스 IP주소, 목적지 IP주소, 포트 번호, 인터넷 제어 메시지 프로토콜(Internet Control Message Protocol: ICMP)과 인터넷 그룹 관리 프로토콜(Internet Group Management Protocol: IGMP) 및 주소 결정 프로토콜(Address Resolution Protocol: ARP) 등을 포함한 일부 프로토콜, MAC 주소, 과부하률, 과부하분포도 등을 포함한다.
차단할 대상은 시스템 내 정책에 따라 고객 단말 또는 공격 대상 장치, 네트워크 스위치 등이 될 수 있다.
이후, 이상 패킷 분석 장치(30)는 추출한 차단 대상의 액세스 정보를 접속 차단 관리 장치(40)로 전달한다(S16).
접속 차단 관리 장치(40)는 차단 대상의 액세스 정보를 이용하여 차단 필터를 작성하고 이 차단 필터를 네트워크 스위치(20)로 전달한다(S17).
이후, 네트워크 스위치(20)는 전달받은 차단 필터의 명령어에 따라 해당 차단 대상의 접속을 차단 또는 허용한다(S18). 이때, 네트워크 스위치(20)는 운용자의 사용자 조작에 따라 적용할 수 있고, 또는 자동 적용할 수 있다. 또, 네트워크 스위치(20)는 상황 해제시 접속 제어 리스트를 자체 삭제하여 초기화할 수 있다.
네트워크 스위치(20)에서 차단한 대상이 고객 단말(도는 좀비 단말)인 경우, 도 5에 도시한 바와 같은 과정을 거칠 수 있다.
도 5를 참조하면, 이상 패킷 분석 장치(30)가 이상 패킷의 분석을 통해 차단할 고객 단말을 추출하면, 이상 패킷 분석 장치(30)가 DHCP 관리 장치(60)로 추출한 고객 단말의 액세스 정보를 전달하고 이에 대한 고객 정보를 조회하도록 요청한다(S22, S23).
그러면, DHCP 관리 장치(60)는 기 저장된 데이터에서 고객 단말에 할당된 액세스 정보와 매칭되는 고객 정보가 있는지를 조회한다(S24).
DHCP 관리 장치(60)는 조회한 고객 정보를 점검 장치(70)로 통보하고(S25), 점검 장치(70)는 해당 고객 정보를 점검 대상으로 자동 등록하여 방문 서비스 등의 애프터 서비스를 제공한다(S26).
이상의 설명은 본 발명을 예시적으로 설명한 것에 불과하며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술적 사상에서 벗어나지 않는 범위에서 다양한 변형이 가능할 것이다. 따라서 본 발명의 명세서에 개시된 실시 예들은 본 발명을 한정하는 것이 아니다. 본 발명의 범위는 아래의 특허청구범위에 의해 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술도 본 발명의 범위에 포함되는 것으로 해석해야 할 것이다.
10: 고객 단말 20, 22: 네트워크 스위치
30: 이상 패킷 분석 장치 40: 접속 차단 관리 장치
50: 공격 대상 장치 60: DHCP 관리장치
70: 점검 장치

Claims (9)

  1. 다수의 고객 단말로부터 송출되는 이상 패킷으로부터 과부하 발생 여부를 감지하는 네트워크 스위치;
    상기 네트워크 스위치로부터 과부하 발생 정보를 수신하고, 상기 네트워크 스위치를 통해 수집한 이상 패킷의 정보를 분석하여 차단할 대상을 추출하는 이상 패킷 분석 장치; 및
    상기 이상 패킷 분석 장치에서 추출한 차단 대상의 액세스 정보를 이용하여 차단 필터를 작성하고 상기 차단 필터를 네트워크 스위치로 전달하는 접속 차단 관리 장치를 포함하며,
    상기 네트워크 스위치는
    다수의 고객 단말로부터 송출되는 패킷에 대한 과부하 임계치를 설정해 두고, 상기 다수의 고객 단말로부터 송출되는 패킷의 데이터량이 상기 과부하 임계치보다 높은지에 따라 과부하 발생 여부를 감지하여 상기 과부하 발생 정보를 생성하여 이상 패킷 분석 장치로 전달하고, 상기 접속 차단 관리 장치로부터 전달받은 차단 필터에 기초하여 차단 대상의 접속을 차단시키는 것을 특징으로 하는 이상 패킷 차단 시스템.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 네트워크 스위치는 가입자망에 위치한 L3 스위치인 것을 특징으로 하는 이상 패킷 차단 시스템.
  4. 제 1 항에 있어서,
    상기 이상 패킷 분석 장치는
    상기 이상 패킷을 전송한 고객 단말 또는 상기 고객 단말이 공격할 공격 대상 장치 중 하나 이상을 차단할 대상으로 추출하는 것을 특징으로 하는 이상 패킷 차단 시스템.
  5. 제 1 항에 있어서,
    상기 차단 대상이 고객 단말인 경우,
    상기 이상 패킷 분석 장치에서 추출한 차단 대상의 액세스 정보와 매칭되는 고객 정보가 있는지 조회하는 DHCP 관리 장치와,
    상기 DHCP 관리 장치에서 조회한 고객 정보를 점검 대상으로 등록하고 등록한 고객에게 사후 관리 서비스를 제공하는 점검 장치
    를 더 포함하는 것을 특징으로 하는 이상 패킷 차단 시스템.
  6. 다수의 고객 단말과 네트워크 장비간을 연결시키는 네트워크 스위치에서 상기 다수의 고객 단말로부터 송출되는 이상 패킷에 의해 과부하 발생 여부를 감지하는 단계;
    과부하 발생시, 이상 패킷 분석 장치가 상기 네트워크 스위치로부터 과부하 발생 정보를 수신하는 단계;
    상기 이상 패킷 분석 장치가 상기 네트워크 스위치를 통해 수집한 이상 패킷의 정보를 분석하고 차단할 대상을 추출하는 단계;
    상기 차단할 대상의 액세스 정보를 이용하여 접속 차단 관리 장치가 차단 필터를 작성하고 상기 차단 필터를 상기 네트워크 스위치로 전달하는 단계; 및
    상기 네트워크 스위치가 상기 접속 차단 관리 장치로부터 전달받은 차단 필터에 기초하여 차단 대상의 접속을 차단시키는 단계를 포함하고,
    상기 과부하 발생 여부를 감지하는 단계는
    상기 네트워크 스위치에 과부하 임계치를 설정해 두고, 상기 상기 다수의 고객 단말로부터 송출되는 패킷의 데이터량이 과부하 임계치보다 높은지에 따라 과부하 발생 여부를 감지하는 것을 포함하는 것을 특징으로 하는 이상 패킷 차단 방법.
  7. 삭제
  8. 제 6 항에 있어서,
    상기 차단할 대상을 추출하는 단계는
    상기 이상 패킷을 전송한 고객 단말이거나 또는 상기 고객 단말이 공격할 공격 대상 장치 중 하나 이상을 포함한 차단 대상의 액세스 정보를 추출하는 것을 특징으로 하는 이상 패킷 차단 방법.
  9. 제 6 항에 있어서,
    상기 이상 패킷 분석 장치가 차단할 대상을 추출한 이후,
    상기 차단할 대상의 액세스 정보를 DHCP 관리 장치로 전달하여 상기 액세스 정보와 매칭되는 고객 정보를 조회 요청하는 단계;
    상기 DHCP 관리 장치가 조회한 고객 정보를 점검 장치로 전달하여 사후 관리 서비스에 자동 등록시키는 단계
    를 더 포함하는 특징으로 하는 이상 패킷 차단 방법.
KR1020120031661A 2012-03-28 2012-03-28 이상 패킷 차단 시스템 및 방법 KR101358794B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120031661A KR101358794B1 (ko) 2012-03-28 2012-03-28 이상 패킷 차단 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120031661A KR101358794B1 (ko) 2012-03-28 2012-03-28 이상 패킷 차단 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20130116456A KR20130116456A (ko) 2013-10-24
KR101358794B1 true KR101358794B1 (ko) 2014-02-10

Family

ID=49635506

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120031661A KR101358794B1 (ko) 2012-03-28 2012-03-28 이상 패킷 차단 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101358794B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102193588B1 (ko) * 2014-05-16 2020-12-23 주식회사 케이티 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법 및 이를 위한 DDoS 공격 차단 시스템
CN112543289A (zh) * 2020-10-29 2021-03-23 中国农业银行股份有限公司福建省分行 用于生猪养殖的ai视频点数方法、装置、设备和介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6351775B1 (en) 1997-05-30 2002-02-26 International Business Machines Corporation Loading balancing across servers in a computer network
JP2002344510A (ja) * 2001-05-15 2002-11-29 Nec Commun Syst Ltd ネットワーク管理システムと装置及び方法並びにプログラム
KR20030059204A (ko) * 2000-10-17 2003-07-07 왠월 인코포레이티드 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
KR20110002634A (ko) * 2009-07-02 2011-01-10 충남대학교산학협력단 패킷검사장치의 부하조절방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6351775B1 (en) 1997-05-30 2002-02-26 International Business Machines Corporation Loading balancing across servers in a computer network
KR20030059204A (ko) * 2000-10-17 2003-07-07 왠월 인코포레이티드 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
JP2002344510A (ja) * 2001-05-15 2002-11-29 Nec Commun Syst Ltd ネットワーク管理システムと装置及び方法並びにプログラム
KR20110002634A (ko) * 2009-07-02 2011-01-10 충남대학교산학협력단 패킷검사장치의 부하조절방법 및 장치

Also Published As

Publication number Publication date
KR20130116456A (ko) 2013-10-24

Similar Documents

Publication Publication Date Title
US7523485B1 (en) System and method for source IP anti-spoofing security
US8423645B2 (en) Detection of grid participation in a DDoS attack
US10116692B2 (en) Scalable DDoS protection of SSL-encrypted services
US7516487B1 (en) System and method for source IP anti-spoofing security
KR101231975B1 (ko) 차단서버를 이용한 스푸핑 공격 방어방법
CN109005175B (zh) 网络防护方法、装置、服务器及存储介质
US20060256729A1 (en) Method and apparatus for identifying and disabling worms in communication networks
JP2015050767A (ja) ホワイトリスト基盤のネットワークスイッチ
JP2006352274A (ja) フレーム転送制御装置、DoS攻撃防御装置およびDoS攻撃防御システム
CN104468624A (zh) Sdn控制器、路由/交换设备及网络防御方法
JP2006352669A (ja) 攻撃検知・防御システム
CN101589595A (zh) 用于潜在被污染端系统的牵制机制
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
CN104883360A (zh) 一种arp欺骗的细粒度检测方法及系统
Jeyanthi et al. Packet resonance strategy: a spoof attack detection and prevention mechanism in cloud computing environment
KR101887544B1 (ko) Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
KR101358794B1 (ko) 이상 패킷 차단 시스템 및 방법
KR101230919B1 (ko) 이상 트래픽 자동 차단 시스템 및 방법
Goncalves et al. WIDIP: Wireless distributed IPS for DDoS attacks
JP4641848B2 (ja) 不正アクセス探索方法及び装置
KR101772292B1 (ko) 소프트웨어 정의 네트워크 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템
KR20120015784A (ko) 분산 서비스 거부 공격 대응 시스템 및 그 방법
KR20200116773A (ko) Sdn 기반의 검사시스템
KR101419861B1 (ko) 가공된 하프 클로즈 순서에 따른 패킷을 사용한 세션 관리 및 세션 자원 소모형 디도스 공격 방어 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170112

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171213

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191205

Year of fee payment: 7