KR101518469B1 - Method for detecting a number of the selected devices of a plurality of client terminals from the internet request traffics sharing the public IP address and System for detecting selectively the same - Google Patents
Method for detecting a number of the selected devices of a plurality of client terminals from the internet request traffics sharing the public IP address and System for detecting selectively the same Download PDFInfo
- Publication number
- KR101518469B1 KR101518469B1 KR1020140072475A KR20140072475A KR101518469B1 KR 101518469 B1 KR101518469 B1 KR 101518469B1 KR 1020140072475 A KR1020140072475 A KR 1020140072475A KR 20140072475 A KR20140072475 A KR 20140072475A KR 101518469 B1 KR101518469 B1 KR 101518469B1
- Authority
- KR
- South Korea
- Prior art keywords
- dns
- client terminal
- server
- request message
- domain
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2571—NAT traversal for identification, e.g. for authentication or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
Abstract
Description
본 발명은 NAT 또는 인터넷 공유기와 같은 IP 주소 변환을 통한 IP 공유기를 이용하여 ISP가 제공하는 인터넷 서비스망에 다수의 클라이언트 단말기가 하나의 공인 IP를 공유하면서 접속하는 것에 대하여, 인터넷 서비스 가입자 중에서 사용자에게 허용된 회선을 초과하여 IP 공유기를 사용하여 다중 접속하는 가입자를 검출하기 위하여 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 디바이스 종류에 따라서 선별된 디바이스 대수를 검출하는 방법 및 그 방법을 수행하기 위한 공인 IP 공유 상태의 디바이스의 선별적인 검출 시스템 검출 시스템에 관한 것이다.In the present invention, a plurality of client terminals are connected to an internet service network provided by an ISP using an IP router through IP address conversion such as a NAT or an internet router, while sharing one public IP. A method and apparatus for detecting a selected number of devices in accordance with a device type from among a plurality of client terminals on a private network using the same public IP to detect a subscriber who accesses multiple accesses using an IP router in excess of a permitted line And more particularly, to a selective detection system detection system of a device in an authorized IP sharing state.
최근에는 여러 사용자 PC 등의 클라이언트 단말로써 네트워크를 동시에 사용하면서 IP 공유기를 사용하여 인터넷 서비스 가입자에 할당되는 하나의 공인 IP를 공유하면서 인터넷을 이용하는 경우가 매우 빈번하게 발생하고 있으며, 회사나 기업 내에서는 사내 네트워크와 외부 인터넷망 사이에 방화벽을 구축하기 위하여 라우터에 NAT(Network Address Translation)를 구성하고 내부적으로는 사설 IP를 사용하는 곳도 많이 늘어나는 추세이다.In recent years, it has been a frequent use of the Internet while sharing a single public IP assigned to an Internet service subscriber by using an IP sharer while simultaneously using a network as a client terminal of a plurality of user PCs. In order to establish a firewall between an internal network and an external Internet network, NAT (Network Address Translation) is configured in routers, and private IP is used internally.
한편, 기존의 인터넷 서비스 사업자(ISP: Internet Service Provider)들이 구축한 인프라에서 장비 및 망 유지비, 네트워크 속도 등의 자원은 한정되어 있는 반면에, NAT나 IP 공유기 등의 사용 빈도가 높아지면서 네트워크를 통하여 제공한 하나의 회선에 대해서 여러 사용자가 접속하게 되면서 무분별한 트래픽 증가가 발생하게 되었고, 이로 인해 1회선의 인터넷 공인 IP에 대하여 하나의 클라이언트 단말(PC 또는 스마트 단말기)만을 정상적으로 사용하는 사용자들이나, 인터넷을 사용하고자 하는 클라이언트 단말의 숫자만큼의 인터넷 공인 IP 회선을 신청하여 정상적으로 사용하는 사용자들이 상대적으로 그 피해를 감수하고 있는 상황이 전개되고 있다.On the other hand, resources such as equipment and network maintenance cost and network speed are limited in the infrastructure established by existing Internet service providers (ISPs), while the frequency of use of NAT and IP routers increases, As a result, the number of users connected to a single line provided increases irrelevant traffic. As a result, users who normally use only one client terminal (PC or smart terminal) or Internet There is a situation in which users who normally use the Internet-authorized IP line as many as the number of client terminals to use are taking the damage relatively.
그러나, 이와 같이 인터넷 서비스 가입 회선에 따른 공인 IP 회선을 초과하는 수의 클라이언트 단말(사용자 단말기, 사용자 PC 또는 스마트 단말기)을 사용하고 있는 가입자를 정확히 파악하기 위해서는 실제 사용자 단말기(사용자 PC 또는 스마트 단말기)의 IP 주소를 추적하여야 하나, NAT 또는 IP 공유기 내부의 사용자의 실제 IP(사설 IP) 주소는 NAT 또는 IP 공유기를 통과할 때 공인 IP 주소로 변환이 되기 때문에, 사용자의 실제 IP주소를 외부에서는 파악할 수 없을 뿐만 아니라 특정 공인 IP에 대해 몇 개의 사설 IP가 공동으로 사용되고 있는지도 정확히 파악하기 어려운 문제점이 있다.However, in order to correctly grasp a subscriber who is using a client terminal (user terminal, user PC, or smart terminal) in excess of the public IP line according to the Internet service subscription line, an actual user terminal (user PC or smart terminal) The private IP address of the user inside NAT or IP sharer is converted to the public IP address when passing through NAT or IP sharer, There is a problem that it is difficult to precisely understand how many private IPs are jointly used for a specific public IP.
이러한 문제를 해결하기 위해서, TCP/IP 패킷을 분석하여 요청된 페이지에서 공유 대상자에 대하여 1차 도메인이 있는 도메인으로 접속하는 모든 세션을 리다이렉션하여, 특정 공인 IP(인터넷 IP)를 사용하는 사설 네트워크 내에서 사용자의 사설 IP를 파악해, 동시에 인터넷을 사용하고 있는 사용자 수를 정확히 알 수 있게 DB화하고, DB화 된 IP풀 정보와 작업(JOB)을 이용하여 사설 IP 사용자가 동시에 인터넷 접속을 할 경우 TCP/IP 기반에서 선별적 허용 및 차단하는 기술을 개시한 대한민국 특허등록 제 10-0723657호(2007. 5. 23. 공고)에서와 같이, 사용자 컴퓨터의 사설 IP를 얻기 위해서는 내부 네트워크 내의 사용자의 사설 IP 주소를 알려주는 별도의 애플릿(어플리케이션 프로그램)을 설치하고 웹 브라우저를 통해 인터넷에 접속하고자 하는 사용자 컴퓨터에서 별도로 설치된 애플릿(어플리케이션 프로그램)을 실행시켜야 하지만, 사용자가 이러한 애플릿의 설치나 작동 여부를 인지하고 삭제하거나 그 작동을 중지시킬 수 있기에 문제에 대한 근본적인 해결책을 제공하지는 못한다.In order to solve this problem, the TCP / IP packet is analyzed to redirect all sessions connecting to the domain having the primary domain to the object to be shared on the requested page, and then, in the private network using the specific public IP (Internet IP) In which the number of users who are using the Internet is known, and when a private IP user accesses the Internet at the same time using the DB pool information and the job (JOB), TCP In order to obtain the private IP of the user's computer, as shown in Korean Patent Registration No. 10-0723657 (June 23, 2007) If you install a separate applet (application program) that shows your address and you want to connect to the Internet through a web browser, It is not possible to provide a fundamental solution to the problem since it is necessary to execute the installed applet (application program), but the user can recognize whether the applet is installed or not, delete the application, or stop the operation.
한편, 상기한 바와 같이 사설 IP를 취득하기 위한 별도의 애플릿을 사용자 단말에 설치하는 기술이 가진 문제점을 해결하기 위한 대안으로서 제시된 또 다른 종래 기술로서 대한민국 공개특허공보 제 10-2009-0041752호(2009. 4. 29. 공개)에 의해 공개된 기술에 따르면, 검출하고자 하는 여러 대의 단말기를 공유해서 사용하는 사설 네트워크 내의 클라이언트 측의 복수 단말기에 생성되는 웹 브라우저 쿠키(Cookie)를 이용한 정밀검출 알고리즘을 사용하여 클라이언트 측의 복수 단말기의 정확한 대수를 알아내는 기술을 이용하면서, DB화 된 쿠키(Cookie)풀 DB정보와 일정 시간 간격으로 작동하는 작업(JOB) 스케쥴러(Scheduler)를 이용하여 특정 공인 IP의 사설 네트워크 사용자가 허용 회선 수를 초과하여 동시에 인터넷 접속을 할 경우 TCP/IP 기반의 사설 네트워크 하에서 인터넷을 허용 및 차단하는 기술이 제시되었다.On the other hand, as another conventional technique proposed as an alternative for solving the problem of the technique of installing a separate applet in a user terminal for acquiring a private IP as described above, Korean Patent Laid-Open Publication No. 10-2009-0041752 (2009 4. 29. According to the technique disclosed in the publication, a precision detection algorithm using a web browser cookie (cookie) generated in a plurality of terminals on a client side in a private network using a plurality of terminals to be detected is used (JOB) scheduler that operates at a certain time interval with the cookie full DB information in DB, using the technique of finding the exact number of the plurality of terminals on the client side, If a network user exceeds the number of allowed lines and simultaneously connects to the Internet, Technologies to allow and block the Internet have been proposed.
그러나, 이러한 종래 기술에 따른 공유기 검출/차단 방법 또는 공유기 검출/차단 시스템에서는 공유기 과다 사용자의 검출을 위해 사용자 컴퓨터의 특정 영역에 저장되는 쿠키(Cookie)를 이용하고 있는데, 이러한 쿠키(Cookie)는 클라이언트 측에 지속성을 부여하기 위한 표준 HTTP 프로토콜 확장 기능을 위하여 웹 브라우저(즉, 어플리케이션단)에 의해 조작되도록 제공되는 것이나, 사용자 컴퓨터의 하드 디스크의 잘 알려진 장소에 저장되며 또한 대부분의 컴퓨터 사용자가 쿠키(Cookie)를 삭제하는 방법에 대해서 잘 알고 있을 뿐만 아니라, 쿠키가 축적되는 경우에는 오히려 인터넷 속도가 저하되는 문제점이 발생하여 일정 기간 이후에는 이들을 삭제하여 정리하는 기능을 웹 브라우저가 제공하기도 하는 바, 예컨대 하나의 공인 IP에 대하여 하나의 컴퓨터를 사용하는 경우(IP 공유기 등을 사용하지 않은 경우)에도 이와 같이 인터넷 접속 도중에 쿠키를 삭제한 상태에서 다시 웹 브라우저를 작동시켜서 웹 트래픽을 발생시키는 경우에는 종래 기술에 따른 차단 시스템에서는 이를 동일한 공인 IP를 가진 다른 컴퓨터에서 발생한 트래픽(즉, IP 공유기 등을 사용한 트래픽)으로 잘못 판단하여 이를 차단할 수 있는 문제점이 있으며, 이러한 문제점은 인터넷 서비스 제공자가 제공하는 서비스의 신뢰도에 대하여 큰 손상을 일으키게 된다.However, in the router detecting / blocking method or the router detecting / blocking system according to the related art, a cookie (Cookie) stored in a specific area of the user's computer is used for detection of the router excessive user. (Or application) for standard HTTP protocol extensions to provide persistence to a user's computer, or stored in a well-known location on the user's computer's hard disk, Cookies), and when a cookie is accumulated, a problem that the speed of the Internet is lowered occurs, and after a certain period of time, the web browser provides a function of deleting the cookies and organizing them, for example, One computer for one public IP If the web browser is operated again while the cookie is deleted while the internet connection is being used (in the case of not using the IP router), the blocking system according to the related art will not use the same public IP (I.e., traffic using an IP router or the like) that is generated by another computer having the Internet service provider, and can block the same. Such a problem causes a serious damage to the reliability of the service provided by the Internet service provider.
또한, 이와 같은 쿠키는 웹 브라우저의 종류별(예컨대, Microsoft의 Internet Explorer, Google의 Chrome, Firefox, Opera, Safari 등)로 쿠키가 개별 관리되는 특성을 가지고 있기 때문에 1대의 단말기에서 여러 종류의 브라우저를 함께 사용하는 경우에는 브라우저별로 다른 단말기로 인식하여 단말의 대수를 과도하게 산정함으로써 정당한 인터넷 사용을 오차단하는 문제점을 가진다.In addition, since such a cookie has the characteristic that the cookie is individually managed by the kind of the web browser (for example, Internet Explorer of Microsoft, Google Chrome, Firefox, Opera, Safari, etc.) In case of using the terminal, it is recognized as a different terminal for each browser, and the number of terminals is excessively calculated, thereby blocking the legitimate use of the internet.
이러한 문제점을 개선하기 위한 방법으로서 등록특허 제10-108791호(2011. 11. 29. 공고)와 같이 쿠키를 사용하여 단말의 대수를 확인하는 단계에 추가하여서 단말의 특정한 위치에 이전에 생성된 Flash-Cookie가 존재하는지 확인하는 단계를 수행하도록 함으로써 웹 브라우저의 종속성을 극복하기 위한 노력이 시도되고 있으나, 이러한 방법에서 사용되는 Flash-Cookie의 저장 장소의 특정성(일정성)은 항상 유지되기 어렵고, 웹 브라우저와 같은 어플리케이션의 경우에는 제작사에서 브라우저를 새로이 만들거나 업데이트하면서 Flash-Cookie의 저장 장소의 위치 또는 호출 방법을 변경할 수 있으며, 이러한 변경 사항이 발생하는 경우에는 제2 웹 브라우저를 사용하는 경우에 제1 웹 브라우저에 의해 이미 저장된 Flash-Cookie의 호출에 실패함으로써 새로운 Flash-Cookie를 생성하게 되고, 그에 따라서 앞서 설명한 바와 같이 웹 브라우저에 따라서 별도의 단말 대수로 계산함으로써 단말 대수의 과도한 산정 결과가 발생할 우려가 있으며 이로 인하여 정당한 인터넷 사용자의 인터넷 사용을 오차단하는 사고가 발생할 수 있기에 인터넷 서비스 제공자(ISP)의 서비스 신뢰도 유지를 위해서는 공유기를 과도하게 사용하는 사용자의 단말을 검출하고 차단하는 업무를 수행하는 시스템 파트에서 지속적으로 웹 브라우저별로 Flash-Cookie의 저장 장소 또는 호출 방법 등의 관리 특성을 어떻게 변경하는지 지속적으로 모니터링하여야 한다는 부담을 가지게 된다.As a method for solving such a problem, in addition to the step of checking the number of terminals using a cookie as in Patent No. 10-108791 (published on November 29, 2011) -Cookie, it is attempted to overcome the dependency of the web browser. However, the specificity (uniformity) of the storage location of the Flash-Cookie used in this method is not always maintained, For applications such as web browsers, you can change the location or calling method of the Flash-cookie storage location while creating or updating a browser. If you are using a second web browser Failure to call the Flash-Cookie already stored by the first web browser causes a new Flash-cookie to be generated Accordingly, as described above, it is possible to calculate an excessive number of terminals by calculating the number of terminals according to the number of terminals in accordance with the web browser. As a result, In order to maintain the service reliability of the provider (ISP), the system part performing the task of detecting and blocking the terminal of the user who excessively uses the router considers the management characteristics such as the storage location or calling method of the flash- The burden of being constantly monitoring how it changes.
나아가, 지금까지 제안된 공유기를 사용하여 공인 IP를 공유하며 인터넷에 접속하는 단말의 대수를 확인하는 방법에서는 카운팅되는 단말의 특성, 예컨대 이들 단말이 PC(Personal Computer; Desktop or Laptop)인지, 아니면 최근 들어서 공유기에서 제공하는 무선랜을 Wi-Fi를 통하여 이용하는 스마트폰 또는 태블릿 PC나 인터넷 접속을 이용하는 게임기 또는 스마트TV와 같은 스마트 단말기의 보급이 급증하고 있는데, 인터넷 서비스 제공자(ISP)의 서비스 정책상 이러한 단말의 무선 인터넷 접속을 일반적인 인터넷 접속 회선으로 카운팅하여 접속 회선 초과를 이유로 그 접속을 차단하기 어려운 실정을 고려할 때, 종래 기술과 같이 공유기를 통하여 공인 IP를 공유하며 접속하는 사설 네트워크상의 클라이언트 단말의 디바이스 종류와 특성을 구별하지 못하고 모든 단말의 대수를 카운팅하는 방법은 그 실용성에서 제한적일 수 밖에 없는 문제점이 있다.Further, in the method of confirming the number of terminals to be connected to the Internet by sharing the public IP using the router proposed so far, the characteristics of the terminals counted, for example, whether the terminals are PC (Personal Computer, Desktop or Laptop) Smart phones such as smart phones or tablet PCs that use Wi-Fi via a Wi-Fi router, game consoles that use Internet access, or smart TVs such as smart TVs are increasing rapidly. However, the service policies of Internet service providers (ISP) It is difficult to block the connection due to exceeding the connection line by counting the wireless Internet connection of the terminal to a general Internet access line. In this case, the device of the client terminal on the private network, which shares the public IP through the router, You can not distinguish between types and characteristics, There is a problem that the method of counting the number of horses is limited in practicality.
한편, 본원 출원일 이전에 출원된 본원 출원인의 특허출원 중에서 첨부 도면 도 1에 도시된 바와 같은 구조를 가진 공인 IP를 공유하며 인터넷에 접속하는 단말의 대수를 확인하는 방법을 사용하는 경우(특허출원 제 10-2014-0057940호)와 비교하여, 본 발명에서는 클라이언트 단말의 디바이스 종류와 특성을 구별하여 선별된 디바이스의 대수를 검출하며, 그리고 전체 시스템의 안정성을 위하여 검출/차단 웹서버를 추가적으로 포함하고 있다는 점에서 차이점이 있다.
In the case of using a method of confirming the number of terminals connected to the Internet sharing a public IP having a structure as shown in FIG. 1 of the applicant's patent application filed before the filing date of the present application, 10-2014-0057940), the present invention further includes a detection / blocking web server for detecting the number of selected devices by distinguishing the device type and characteristics of the client terminal, and for the stability of the entire system There is a difference in point.
본 발명은 이러한 종래 기술의 문제점을 해결하기 위한 수단으로서, 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법에 있어서, The present invention provides a method for detecting the number of devices of a plurality of client terminals on a private network using the same public IP from Internet access request traffic of a client terminal requesting an Internet connection,
(I) 클라이언트 단말이 웹서버로 HTTP 요청 메시지 또는 DNS(Domain Name System; 네트워크에서 도메인이나 호스트 이름을 숫자로 된 IP 주소로 해석해주는 시스템) 서버로 DNS 요청 메시지를 전송하는 단계와;(I) transmitting a DNS request message to an HTTP request message to a web server or a DNS (Domain Name System) server to interpret a domain or host name as a numerical IP address in a network;
(II) 인터넷 서비스 제공자(ISP; Internet Service Provider)의 백 본 네트워크(Back Bone Network)에 제공되는 미러링 장치가 클라이언트 단말로부터 발생한 HTTP 요청 메시지 또는 DNS 요청 메시지 트래픽을 미러링하고 그리고 상기 미러링된 HTTP 요청 메시지 또는 DNS 요청 메시지 트래픽을 푸쉬 서버로 전송하는 클라이언트 단말의 HTTP 요청 메시지 또는 DNS 요청 메시지 트래픽의 미러링 단계와; (II) A mirroring device provided in a back bone network of an Internet service provider (ISP) mirrors an HTTP request message or DNS request message traffic generated from a client terminal and transmits the mirrored HTTP request message Or mirroring the HTTP request message or the DNS request message traffic of the client terminal transmitting the DNS request message traffic to the push server;
(III) 상기 푸쉬 서버가 유입되는 상기 미러링된 HTTP 요청 메시지 또는 DNS 요청 메시지 트래픽을 파싱(Parsing)하여 HTTP 요청 메시지 또는 DNS 요청 메시지인지 확인하는 요청 메시지 확인 단계와;(III) a request message confirmation step of parsing the mirrored HTTP request message or DNS request message traffic into which the push server is inputted to confirm whether it is an HTTP request message or a DNS request message;
(a) 상기 요청 메시지 확인 단계((III)의 단계)에서 DNS 요청 메시지로 판별되는 경우에,(a) when the DNS request message is determined in the request message checking step ((III)),
(a-IV) 상기 푸쉬 서버가 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출하는 DNS 요청 메시지 정보 추출 단계와;(a-IV) extracting a DNS request message information for extracting a Transaction ID and a domain name as information necessary for the push server to generate a false DNS response message;
(a-V) 상기 푸쉬 서버는 추출된 도메인이 검출/차단 웹서버의 도메인(ipsd.com)인지 확인하고, 감시 중인 검출/차단 웹서버의 도메인(ipsd.com)에 해당하는 경우에 도메인 Name을 도메인 IP로 변환하고, 추출된 Transaction ID와 변환된 도메인 IP를 포함하는 거짓 DNS 응답을 생성하되 Answers 필드의 TTL(Time To Live) 값을 푸쉬 서버에서 지정하는 값(예컨대, 2시간)으로 설정한 거짓 DNS 응답 메시지를 생성하여 클라이언트 단말로 전송하는 거짓 DNS 응답 메시지 생성 및 전송 단계와;(aV) The push server checks whether the extracted domain is the domain (ipsd.com) of the detection / blocking web server. If the extracted domain corresponds to the domain (ipsd.com) of the detecting / blocking web server being monitored, IP, generates a false DNS response including the extracted Transaction ID and the converted domain IP, sets a TTL (Time To Live) value of the Answers field to a value specified by the push server (for example, 2 hours) Generating and transmitting a DNS response message to the client terminal;
(a-VI-1) 상기 푸쉬 서버는 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 검출/차단 웹서버의 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버로 전송하는 단계와;(a-VI-1) The push server stores the DNS history information including the time of responding the false DNS message to the client terminal, the domain of the detection / blocking web server requested by the client terminal, and the public IP address or ID value of the client terminal To an analysis server;
(a-VI-2) 클라이언트 단말이 상기 거짓 DNS 응답 메시지 생성 및 전송 단계를 통하여 상기 거짓 DNS 메시지를 수신하게 되면 접속하도록 지정된 검출/차단 웹서버의 도메인(ipsd.com)으로 접속하고, 그리고 푸쉬 서버에서 지정한 시간(TTL 값) 동안 해당 도메인에 대해서 DNS 요청 메시지를 발생시키지 않도록 푸쉬 서버에서 지정한 시간(TTL 값) 만큼 오퍼레이팅 시스템의 커널단에 검출/차단 웹서버의 도메인(ipsd.com)의 DNS 해석 결과인 IP 주소를 저장하는 검출/차단 웹서버의 도메인 IP 주소의 클라이언트 단말의 오퍼레이팅 시스템 커널단 저장 단계와; (a-VI-2) accesses the domain (ipsd.com) of the detection / blocking web server designated to connect when the client terminal receives the false DNS message through the false DNS response message creation and transmission step, Detect / block at the kernel end of the operating system by the time (TTL value) specified by the push server so that the DNS request message is not generated for the domain during the time specified by the server (TTL value) Storing an operating system kernel termination step of a client terminal having a domain IP address of a detecting / blocking web server storing an IP address as an analysis result;
(a-VII) 상기 분석 서버는 푸쉬 서버로부터 수신한 거짓 DNS 메시지를 클라이언트 단말에 응답한 시간, 클라이언트 단말이 요청한 검출/차단 웹서버의 도메인, 및 클라이언트 단말의 공인 IP 또는 ID 값을 포함하는 DNS 이력 정보를 제1 DB 서버에 저장하는 DB 서버의 DNS 이력 정보 저장 단계와;(a-VII) The analysis server analyzes the false DNS message received from the push server, the response time to the client terminal, the domain of the detection / blocking web server requested by the client terminal, and the DNS A DNS history information storing step of a DB server storing history information in a first DB server;
(a-VIII) 상기 분석 서버는 제1 DB 서버에 저장된 정보를 이용하여 클라이언트 단말이 푸쉬 서버에서 지정한 시간(TTL 값, 예컨대 2시간) 동안 검출/차단 웹서버의 도메인(ipsd.com)과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하여 공유기를 통하여 연결되어 동일한 공인 IP 주소를 사용하는 클라이언트 단말의 선별된 디바이스의 대수를 산출하는 클라이언트 단말의 선별된 디바이스 대수 산출 단계를 포함하여 이루어지고,(a-VIII) Using the information stored in the first DB server, the analysis server analyzes the domain (ipsd.com) of the detection / blocking web server (ipsd.com) for the time specified by the push server (TTL value, The number of selected devices of the client terminal that counts the maximum number of times the DNS request message is transmitted with the same ID or public IP address of the terminal and is connected through the router to calculate the number of selected devices of the client terminal using the same public IP address And a calculating step,
(b) 상기 요청 메시지 확인 단계((III)의 단계)에서 HTTP 요청 메시지로 판별되는 경우에는,(b) the HTTP request message in the step (III) of checking the request message,
(b-IV) 상기 푸쉬 서버가 HTTP 요청 메시지에 포함된 URL, Referer, 및 User-Agent 정보를 추출하는 HTTP 요청 메시지 정보 추출 단계와;(b-IV) an HTTP request message information extracting step in which the push server extracts URL, Referer, and User-Agent information included in the HTTP request message;
(b-V) 추출된 URL이 감시 대상인지 확인하고, HTTP 리다이렉션의 무한루프를 방지하도록 하는 Referer 조건을 확인하고, User-Agent에 포함되어 추출된 정보로써 HTTP 요청을 보낸 클라이언트 디바이스의 오퍼레이팅 시스템(OS) 또는 브라우저의 정보가 디바이스 대수 검출의 대상되는 선별 디바이스 식별자에 해당하는지 여부를 판별하는 클라이언트 디바이스 식별 단계와;(bV) is a monitoring target, confirms a Referer condition for preventing an infinite loop of HTTP redirection, and checks whether or not the operating system (OS) of the client device that has sent the HTTP request as the extracted information contained in the User- Or a client device identification step of determining whether or not the information of the browser corresponds to a target device identifier to be subjected to device number detection;
(b-VI) 상기 (b-V) 단계의 조건들을 만족하는 경우에, 푸쉬 서버는 클라이언트 단말에 거짓 HTTP 응답 메시지 전송하게 되는데, 클라이언트 단말이 응답 웹 페이지의 프레임을 100% 프레임과 0% 프레임으로 나누고, 100% 프레임에 가입자가 원래 접속하려던 웹 사이트의 주소를 파라메타로 붙여서 검출/차단 웹서버로 접속하도록 하는 내용의 거짓 HTTP 응답 메시지를 클라이언트 단말에 전송하는 거짓 HTTP 응답 메시지 전송 단계를 포함하여 이루어지며, 그리고(b-VI) If the conditions of step (bV) are satisfied, the push server transmits a false HTTP response message to the client terminal. The client terminal divides the frame of the response web page into 100% frame and 0% frame , A false HTTP response message transmission step of transmitting a false HTTP response message to the client terminal in which the subscriber attaches the address of the web site to which the subscriber originally attempted to access as a parameter to connect to the detection / blocking web server in the 100% frame , And
상기 단계 (b-VI)에서 거짓 HTTP 응답 메시지를 전송 받은 클라이언트 단말은 검출/차단 웹서버의 도메인 IP 주소를 알아내기 위하여 DNS 서버로 DNS 요청 메시지를 전송하도록 상기 단계 (I)로 진행되는 것을 특징으로 하는 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 선별된 디바이스의 대수를 검출하는 방법을 제공한다.The client terminal having received the false HTTP response message in the step (b-VI) proceeds to the step (I) so as to transmit the DNS request message to the DNS server to find the domain IP address of the detecting / blocking web server. A method for detecting the number of devices selected from among a plurality of client terminals on a private network using the same public IP.
여기에서, 클라이언트 단말에서는 오퍼레이팅 시스템의 커널단에 검출/차단 웹서버의 도메인의 DNS 해석 결과인 IP 주소가 저장된 경우에 이를 이용하여 검출/차단 웹서버의 도메인에 접속하고 DNS 요청 메시지를 발생하지 않게 된다.In the client terminal, when the IP address of the domain of the detection / blocking web server is stored in the kernel terminal of the operating system, the client terminal accesses the domain of the detecting / blocking web server and does not generate the DNS request message do.
따라서, 1대의 클라이언트 단말 디바이스에서는 검출/차단 웹서버의 도메인에 대해서 푸쉬 서버에서 지정된 시간(TTL 값) 동안은 1회 이상 DNS 요청 메시지를 전송할 수 없으며, 이로써 지정된 시간 동안 검출/차단 웹서버의 도메인과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하게 되면 공인 IP 주소를 공유하며 일정 시간 동안에 검출/차단 웹서버의 도메인으로 인터넷 접속을 수행하도록 선별 처리된 클라이언트 단말의 디바이스 대수를 파악할 수 있게 된다.Therefore, in one client terminal device, the DNS request message can not be transmitted to the domain of the detection / blocking web server at least once during the designated time (TTL value) in the push server, thereby detecting / blocking the domain And a client terminal that shares the public IP address and counts the maximum number of times the DNS request message is transmitted using the same ID or public IP address, It is possible to grasp the device number of the device.
한편, 상기 DNS 이력 정보를 분석 서버로 전송하는 단계에서 푸쉬 서버는 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 검출/차단 웹서버의 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버로 전송하게 되는데, 이 때 클라이언트 단말의 IP 대신에 ID 값을 분석 서버로 전송하려면 실시간 사용자 IP 할당 내역 정보를 제2 DB 서버로부터 제공받아야 가능하게 된다. 이러한 제2 DB 서버는 상술한 제1 DB 서버와 구별되는 기능을 제공하지만 물리적으로는 통합되어 구성될 수 있으며, 물론 이와 달리 물리적으로 분리되어 별도로 구성될 수도 있다.Meanwhile, in the step of transmitting the DNS history information to the analysis server, the push server transmits the DNS history information to the client terminal in response to the response time of the false DNS message, the domain of the detection / blocking web server requested by the client terminal, To the analysis server. In this case, in order to transmit the ID value to the analysis server instead of the IP of the client terminal, it is possible to receive real-time user IP allocation history information from the second DB server. Although the second DB server provides the functions different from the first DB server, the second DB server may be physically integrated and physically separate from the first DB server.
그리고, 상기 (b-V)의 클라이언트 디바이스 식별 단계에서 선행적으로 수행되는 확인 과정으로서, 추출된 URL이 감시 대상인지 확인하고, 그리고 HTTP 리다이렉션의 무한루프를 방지하도록 하는 Referer 조건을 확인하는 과정은, 각각The process of confirming the Referer condition for confirming whether the extracted URL is the monitoring target and preventing the infinite loop of the HTTP redirection may be performed in the following steps (b-1) to
① 추출된 URL이 검출/차단 웹서버(250)의 URL을 제외한 감시 대상 URL 에 해당하는 제1 조건과; 그리고(1) a first condition in which the extracted URL corresponds to a monitored URL excluding the URL of the detection / blocking
② Referer가 존재하지 않는 조건에 해당하되, 만일 Referer가 존재하는 경우라도 Referer 필드의 값(URL)이 검출/차단 웹서버(250)의 URL이 아니라면 이 조건에 부합하는 것으로 판단되는 제2 조건을 충족시키는 지를 확인하는 과정으로 구성될 수 있으며, 이들 조건은 무한 루프를 방지하기 조건이다.If the value of the Referer field (URL) is not the URL of the detection / blocking
또한, 본 발명은 다른 발명 카테고리의 관점, 즉 장치 발명의 카테고리 관점에서 공인 IP 공유 상태 디바이스의 선별적 검출 시스템을 제공하기도 한다.
The present invention also provides a selective detection system of public IP sharing state devices from the viewpoint of another inventive category, that is, the category of the device invention.
본 발명에 따르면 공유기 등을 통하여 동일한 공인 IP를 사용하면서 인터넷에 접속하는 클라이언트 단말에서 보다 정확한 공유기 과다 사용 상태를 검출할 수 있도록 하는데, 특히 검출하는 단계에서 오퍼레이팅 시스템의 커널단에 정하여진 시간 동안 저장되는 DNS 해석 결과는 쿠키(Cookie)와 달리 사용자에 의해 쉽게 삭제될 수 있는 성질의 것이 아니기에 종래 기술과 같이 쿠키 삭제에 의하여 단말의 대수가 과도하게 계산되어서 회선 초과로 잘못 판단하여 인터넷 사용을 오차단하는 경우가 발생하는 것을 방지하는 효과가 있다.According to the present invention, a client terminal connecting to the Internet can detect a more accurate router overuse state while using the same public IP through a router or the like. In particular, in the detecting step, The result of DNS analysis is not a property that can be easily deleted by the user unlike the cookie (Cookie). Therefore, the number of terminals is excessively calculated by the cookie deletion as in the prior art, There is an effect of preventing the occurrence of the case of
그리고, 일반적인 쿠키가 가진 웹 브라우저의 종속성 문제를 해결하기 위하여 추가적으로 제시된 플래쉬 쉐어드 오브젝트('Flash Shared Object', Flash-Cookie라고 칭함)를 검출자로서 사용하는 검출 방법 및 검출 시스템에서는 시스템 운영자가 Flash-Cookie의 저장 장소의 특정성(일정성)이 유지되고 있는지 각각의 웹 브라우저를 통한 트래픽에 대하여 계속적으로 시험하고 지속적으로 모니터링하여야 하는 부담이 있는 반면에, 본 발명에 따르면 오퍼레이팅 시스템에서의 변화가 없다면 커널단에 거짓 DNS 응답 메시지를 저장하는 방법의 유효성을 일정하게 유지할 수 있기에 공유기 과다 사용 검출 시스템을 운영하는데 있어서 유지 관리 부담과 운영 비용을 절감할 수 있도록 하면서도 오검출 확률을 낮추는 효과를 제공하면서, 나아가 공유기를 통하여 공인 IP를 공유하며 접속하는 사설 네트워크상의 클라이언트 단말의 디바이스 종류와 특성을 구별하여 인터넷 서비스 제공자(ISP)의 서비스 정책(예컨대, Andriod-OS나 IOS를 사용하는 스마트폰 또는 태블릿 단말은 검출에서 제외하는 정책)에 따라서 선별된 단말에 대해서만 그 대수를 카운팅할 수 있는 방법을 제공함으로써 실용성을 향상시키는 효과를 제공한다.
In a detection method and detection system using a Flash Shared Object (hereinafter referred to as Flash-Cookie) as a detector in order to solve a web browser dependency problem of a general cookie, -Cookie has the burden of constantly testing and constantly monitoring the traffic through each web browser to see if the specificity of the storage location is maintained (constant), whereas according to the invention, the change in the operating system It is possible to maintain the validity of the method of storing false DNS response message at the kernel level constantly. Therefore, in the operation of the router overuse detection system, it is possible to reduce the maintenance burden and the operating cost, , Furthermore, public IP through the router A service policy of an Internet service provider (ISP) (for example, a smart phone or tablet terminal using an AndiOD-OS or IOS is excluded from detection) by distinguishing the device type and characteristics of a client terminal on a private network to be shared and connected Therefore, it provides an effect of improving the practicality by providing a method of counting the logarithm only for selected terminals.
도 1은 DNS 요청 메시지를 활용하되 본 발명과 구별되는 본원 출원인의 선출원된 다른 발명(출원번호 제 10-2014-0057940호)에 따른 검출 시스템의 전체 구성도이고, 도 2는 본 발명에 따른 검출 시스템의 전체 구성도이다.
도 3a는 본 발명에 따른 방법 발명의 진행 상태를 도시한 도면으로서 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법의 전체 순서도의 일부로서 DNS 요청 메시지의 처리 과정을 도시한 도면이고, 도 3b는 도 3a에서 HTTP 요청 메시지의 처리 과정을 도시한 도면이며, 도 3c는 도 3a의 후속 단계를 도시한 도면이고, 그리고 도 3d는 도 3a의 단계 'S400'의 보다 구체적인 진행 과정을 도시한 도면이다.
도 4는 본 발명에 따른 검출 방법을 수행하는 첫번째 단계로서 클라이언트 단말에서 특정 도메인(www.naver.com)에 접속하기 위하여 DNS 요청 트래픽을 생성하는 상태를 도시한 작동 상태도이다.
도 5는 도 4의 단계 이후의 단계의 작동 상태를 도시한 것으로서 DNS 요청 메시지 트래픽을 미러링하고 그리고 미러링된 DNS 요청 메시지 트래픽을 푸쉬 서버로 전송하는 상태를 도시한 작동 상태도이다.
도 6a는 다음으로 미러링된 DNS 요청 메시지 트래픽을 푸쉬 서버에서 파싱하여 DNS 요청 메시지 정보를 추출하는 상태를 도시한 작동 상태도이고, 도 6b는 이때 사용된 DNS 요청 메시지의 일 예를 나타낸 도면이다.
도 7은 도 6a에서 DNS 요청 메시지로부터 추출된 도메인이 Push 서버가 감시 중인 검출/차단 웹서버의 도메인(ipsd.com)인지 확인하고 검출/차단 웹서버의 도메인이 아니어서 메시지를 폐기함에 따라서, 원래의 DNS 서버로부터의 DNS 응답 메시지가 클라이언트 단말로 전송되는 상태를 도시한 작동 상태도이다.
도 8은 도 7에서 전송받은 IP주소로써 클라이언트 단말이 접속하고자 하는 웹사이트로 HTTP 요청 메시지를 전송하는 상태를 도시한 작동 상태도이다.
도 9는 도 8의 단계 이후의 단계의 작동 상태를 도시한 것으로서 HTTP 요청 메시지 트래픽을 미러링하고 그리고 미러링된 HTTP 요청 메시지 트래픽을 푸쉬 서버로 전송하는 상태를 도시한 작동 상태도이다.
도 10a는 다음으로 미러링된 HTTP 요청 메시지 트래픽을 푸쉬 서버에서 파싱하여 HTTP 요청 메시지 정보를 추출하는 상태를 도시한 작동 상태도이고, 도 10b는 이때 사용된 HTTP 요청 메시지의 일 예를 나타낸 도면이다.
도 11a는 HTTP 요청 메시지 트래픽으로부터 추출된 정보로부터 디바이스 대수 산출 대상으로 검증되는 경우에 거짓 HTTP 응답 메시지를 생성하여 클라이언트 단말로 전송하고 단계를 도시한 도면이고, 도 11b는 이 때 생성되는 거짓 HTTP 응답 메시지 트래픽의 일 예를 나타내는 도면이다.
도 11c는 HTTP 요청 메시지 트래픽으로부터 추출된 정보로부터 디바이스 대수 산출 대상으로 검증되지 않는 경우에 거짓 HTTP 응답 메시지가 생성되지 않고 또한 클라이언트 단말로 전송되지도 않는 상황을 나타내는 설명도이다.
도 12는 도 11a의 후속 단계로서 클라이언트 단말이 검출/차단 웹서버에 접속하기 위하여 DNS 요청 트래픽을 생성하여 DNS 서버로 전송하는 상태를 도시한 작동 상태도이다.
도 13은 도 12의 단계 이후의 단계의 작동 상태를 도시한 것으로서 검출/차단 웹서버에 대한 DNS 요청 메시지 트래픽을 미러링하고 그리고 미러링된 DNS 요청 메시지 트래픽을 푸쉬 서버로 전송하는 상태를 도시한 작동 상태도이다.
도 14a는 다음으로 미러링된 검출/차단 웹서버에 대한 DNS 요청 메시지 트래픽을 푸쉬 서버에서 파싱하여 DNS 요청 메시지 정보를 추출하는 상태를 도시한 작동 상태도이고, 도 14b는 이때 사용된 DNS 요청 메시지의 일 예를 나타낸 도면이다.
도 15a는 도 14a에서 DNS 요청 메시지로부터 추출된 도메인이 Push 서버가 감시 중인 검출/차단 웹서버의 도메인(ipsd.com)인지 확인하고서 클라이언트 단말로 거짓 DNS 응답 메시지를 전송하는 상태를 도시한 작동 상태도이고, 도 15b 및 도 15c는 이때 사용된 거짓 DNS 응답 메시지의 일 예를 나타낸 도면으로서 Answers 필드의 TTL (Time to Live)이 2 hours로 설정된 것을 보다 명확하게 도시하고 있다.
도 16은 푸쉬 서버가 DNS 이력 정보를 분석 서버로 전송하고, 분석 서버는 푸쉬 서버로부터 수신한 DNS 이력 정보를 제1 DB 서버에 저장하는 과정을 도시한 작동 상태도이다.
도 17a은 분석 서버가 제1 DB 서버에 저장된 DNS 이력 정보를 활용하여 동일한 공인 IP 주소를 사용하는 클라이언트 단말 중에서 선별된 디바이스의 대수를 산출하는 과정의 일 예를 모식적으로 도시한 작동 상태도이고, 도 17b는 실시간 사용자 IP 할당 내역을 제공받는 과정이 추가된 실시예의 작동 상태도이다.
도 18a는 클라이언트 단말이 거짓 DNS 메시지를 수신하게 되면 푸쉬 서버에서 지정한 시간 동안 검출/차단 웹서버의 도메인(ipsd.com) 에 대해서 DNS 요청 메시지를 발생시키지 않도록 푸쉬 서버에서 지정한 시간만큼 오퍼레이팅 시스템의 커널단에 해당 도메인의 DNS 해석 결과인 IP 주소를 저장하고서, 도 11a에 도시된 단계에서 접속하도록 지정된 검출/차단 웹서버의 도메인(ipsd.com)으로 HTTP 요청 메시지를 전송하면서 접속하는 과정과, 이러한 HTTP 요청 메시지가 미러링되어서 푸쉬 서버에서 파싱되면서 검사되고 폐기되는 단계를 순차적으로 도시한 작동 상태도이며, 도 18b는 이때 사용된 HTTP 요청 메시지의 일 예를 나타낸 도면이다.
도 19는 후속하여 검출/차단 웹서버로부터 클라이언트 단말로 HTTP 응답 메시지가 전송되는 단계를 도시한 도면으로, 이때 전송되는 HTTP 응답 메시지는 클라이언트 단말의 사용자가 접속하기를 원하였던 웹 사이트 도메인으로 리다이렉션하도록 하는 내용이다.
도 20a는 클라이언트 단말의 사용자가 접속하기를 원하였던 웹 사이트 도메인으로 리다이렉션하기 위하여 해당 웹사이트로 HTTP 요청 메시지 트래픽을 전송하는 상태와, 그 HTTP 요청 메시지 트래픽의 미러링 및 푸쉬 서버로의 전송 과정과 그리고 푸쉬 서버에서 파싱하여 HTTP 요청 메시지 정보를 추출하여 Referer 필드를 검사하고, 미러링된 메시지가 폐기되는 과정을 도시한 도면이고, 도 20b는 이때 사용된 HTTP 요청 메시지 트래픽의 일 예를 도시한 도면이다.
도 21은 클라이언트 단말의 사용자가 접속하기를 원하였던 웹 사이트에서 클라이언트 단말로 HTTP 응답 메시지 트래픽이 전송되는 상태를 도시한 도면이다.FIG. 1 is an overall configuration diagram of a detection system according to another prior application of the present applicant (Application No. 10-2014-0057940) that utilizes a DNS request message and is distinguished from the present invention, and FIG. 2 is a block diagram of a detection Fig.
3A is a diagram showing the progress of the inventive method according to the present invention. As a part of the overall flowchart of a method for detecting the number of devices of a plurality of client terminals on a private network using the same public IP, 3A is a diagram showing the process of the HTTP request message in FIG. 3A, FIG. 3C is a diagram showing a subsequent step in FIG. 3A, and FIG. Fig.
4 is an operational state diagram showing a state in which DNS request traffic is generated for accessing a specific domain (www.naver.com) at a client terminal as a first step of performing a detection method according to the present invention.
FIG. 5 is an operational state diagram showing states of operations after the step of FIG. 4, which mirror the DNS request message traffic and transmit the mirrored DNS request message traffic to the push server.
FIG. 6A is an operational state diagram illustrating a state in which the mirrored DNS request message traffic is parsed by the push server to extract DNS request message information, and FIG. 6B is a diagram illustrating an example of the DNS request message used at this time.
FIG. 7 shows that the domain extracted from the DNS request message in FIG. 6A is a domain (ipsd.com) of the detection / blocking web server being monitored by the push server, and the message is discarded because it is not a domain of the detection / And a DNS response message from the original DNS server is transmitted to the client terminal.
8 is an operational state diagram illustrating a state in which the client terminal transmits an HTTP request message to a web site to which the client terminal intends to access with the IP address transmitted in FIG.
FIG. 9 is an operational state diagram showing a state after the step of FIG. 8, showing the state of mirroring the HTTP request message traffic and transmitting the mirrored HTTP request message traffic to the push server.
FIG. 10A is an operational state diagram illustrating a state in which the push server parses the HTTP request message traffic mirrored to extract the HTTP request message information, and FIG. 10B illustrates an example of the HTTP request message used at this time.
FIG. 11A is a diagram illustrating a step of generating a false HTTP response message when verifying the device algebra number calculation target information from the information extracted from the HTTP request message traffic and transmitting the false HTTP response message to the client terminal, and FIG. 11B is a diagram showing a false HTTP response FIG. 5 is a diagram illustrating an example of message traffic. FIG.
11C is an explanatory diagram showing a situation in which a false HTTP response message is not generated and is not transmitted to the client terminal when the information extracted from the HTTP request message traffic is not verified to the device algebra number calculation target.
12 is an operational state diagram illustrating a state in which a client terminal generates DNS request traffic to access a detection / blocking web server and transmits the DNS request traffic to a DNS server as a subsequent step of FIG. 11A.
FIG. 13 shows an operational state of the steps after the step of FIG. 12, which is an operation state diagram illustrating a state of mirroring DNS request message traffic to the detection / blocking web server and transmitting mirrored DNS request message traffic to the push server to be.
FIG. 14A is an operational state diagram illustrating a state in which the DNS request message traffic for the mirrored detection / blocking web server is parsed by the push server and DNS request message information is extracted. FIG. 14B is a diagram illustrating an operation state of the DNS request message Fig.
15A is an operation state diagram showing a state in which a domain extracted from the DNS request message is a domain (ipsd.com) of a detection / blocking web server being monitored by the push server and a false DNS response message is transmitted to the client terminal And FIGS. 15B and 15C are views showing an example of a false DNS response message used at this time, and clearly show that the time to live (TTL) of the Answers field is set to 2 hours.
16 is an operational state diagram illustrating a process in which the push server transmits DNS history information to the analysis server and the analysis server stores the DNS history information received from the push server in the first DB server.
17A is an operational state diagram schematically illustrating an example of a process in which an analysis server calculates the number of selected devices from client terminals using the same public IP address by utilizing DNS history information stored in a first DB server, 17B is an operational state diagram of an embodiment in which a process of receiving real-time user IP allocation details is added.
18A is a diagram illustrating a case where when a client terminal receives a false DNS message, it does not generate a DNS request message for the domain (ipsd.com) of the detection / blocking web server during a time designated by the push server, A step of storing an IP address as a result of DNS analysis of the corresponding domain and accessing the domain by transmitting an HTTP request message to a domain (ipsd.com) of a detection / blocking web server designated to access in the step shown in FIG. 11A; The HTTP request message is mirrored and parsed by the push server, and is checked and discarded. FIG. 18B is a view showing an example of the HTTP request message used at this time.
FIG. 19 is a diagram illustrating a step in which an HTTP response message is transmitted from a detection / blocking web server to a client terminal, and the HTTP response message transmitted at this time is redirected to a web site domain that the user of the client terminal desires to access .
20A shows a state where a user of a client terminal transmits an HTTP request message traffic to a corresponding web site in order to redirect to a web site domain that the user desires to access, a process of mirroring and transmitting the HTTP request message traffic to a push server, FIG. 20B is a view showing an example of the HTTP request message traffic used at this time, and FIG. 20B is a view showing a process of parsing in the push server, extracting the HTTP request message information, examining the Referer field, and discarding the mirrored message.
21 is a diagram illustrating a state in which HTTP response message traffic is transmitted from a web site to which a user of the client terminal desires to connect to the client terminal.
이하에서는 첨부 도면을 참조하여, 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 선별된 디바이스의 대수를 검출하기 위하여 제공되는 본 발명의 바람직한 실시예에 대하여 살펴보기로 한다.Hereinafter, a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings, which is provided for detecting the number of devices selected from a plurality of client terminals on a private network using the same public IP.
첨부 도면 도 2의 전체 구성도와, 도 3a 내지 도 3d에 도시된 기본 순서도와 더불어서 도 3 내지 도 21에 도시된 도면들을 참조하여, 먼저 본 발명에 따른 공인 IP 공유 상태 디바이스의 선별적 검출 시스템의 바람직한 일 실시예에 대하여 살펴보기로 한다.3 to 21 together with the overall flow diagram of FIG. 2 and the basic flow charts shown in FIG. 3A to FIG. 3D, a description will be given first of a system for selectively detecting public IP sharing state devices according to the present invention A preferred embodiment will be described.
도 2에 도시된 바와 같이, 본 발명에 따른 공인 IP 공유 상태 디바이스의 선별적 검출 시스템(200)의 바람직한 일 실시예는 미러링 장치(210), 푸쉬 서버(220), 분석 서버(230), 제1 DB 서버(240), 및 검출/차단 웹서버(250)를 포함하여 이루어지며, 나아가 추가적으로 제2 DB 서버(도 10b 참조)도 포함하여 이루어질 수 있는데, 이에 대하여 보다 구체적으로 살펴보면, 2, a preferred embodiment of the
상기 미러링 장치(210)는, 인터넷 서비스 가입자의 클라이언트 단말(PC-1, PC-2, Smart Phone-1, Smart TV-1)이 웹 브라우저를 구동하여 인터넷(300)상의 웹 사이트(예컨대, www.naver.com)로 접속을 요청하는 경우(도 4의 화살표 ① 참조)에 접속하려는 웹 사이트의 IP 주소를 획득하기 위하여 클라이언트 단말로부터 DNS 서버 측으로 발생하는 DNS 요청 메시지 트래픽(도 4의 화살표 ②, 도 12의 화살표 ⑩ 참조)을 미러링(도 5의 화살표 ③, 도 13의 화살표 ⑪ 참조)하기 위한 것으로서 인터넷 서비스 제공자(ISP; Internet Service Provider)의 백 본 네트워크(Backbone Network)에 위치하는 장치이며, 이는 또한 인터넷 서비스 가입자의 클라이언트 단말(PC-1, PC-2, Smart Phone-1, Smart TV-1)이 웹서버(사용자가 접속하려는 웹서버 또는 검출/차단 웹서버)에 접속하도록 3-way Handshaking 후 HTTP 요청 메시지 전송을 발생하게 되는 경우(도 8의 화살표 ⑥ 참조, 도 18a의 화살표 ⓐ-1 참조)에 이러한 HTTP 요청 메시지 트래픽도 미러링(도 9의 화살표 ⑦, 도 18a의 화살표 ⓐ-2 참조)한다.The
그리고, 상기 푸쉬 서버(220)는, 미러링되어 유입되는 상기 DNS 요청 메시지 트래픽(예시된 도 6b 및 도 14b 참조)을 파싱(Parsing)하여(도 6a의 화살표 ④, 도 14a의 화살표 ⑫ 참조) DNS 요청 메시지인지 확인하고, 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출하며, 추출된 도메인이 푸쉬 서버가 감시 중인 도메인인지 확인하고, 감시 중인 도메인에 해당하는 경우(도 14a 및 도 14b의 경우)에 도메인 Name을 도메인 IP로 변환하고, 추출된 Transaction ID와 변환된 도메인 IP를 포함하는 거짓 DNS 응답을 생성하되 Answers 필드의 TTL(Time To Live) 값을 푸쉬 서버에서 지정하는 값(예컨대, 2시간)으로 설정한 거짓 DNS 응답 메시지(예시된 도 15b 및 도 15c 참조)를 생성하여 클라이언트 단말로 전송하고서(도 15의 화살표 ⑬ 참조), 그 결과에 해당하는 사항으로서 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송(도 16의 화살표 ⑭-1 참조)하는 장치이며, 아울러 미러링장치(210)로부터 미러링받은 HTTP 요청 메시지에 포함된 URL, Referer, 및 User-Agent 정보를 추출하여, 추출된 URL이 감시 대상인지 확인하고, HTTP 리다이렉션의 무한루프를 방지하도록 하는 Referer 조건을 확인하고, User-Agent에 포함되어 추출된 정보로써 HTTP 요청을 보낸 클라이언트 디바이스의 오퍼레이팅 시스템(OS) 또는 브라우저의 정보가 디바이스 대수 검출의 대상되는 선별 디바이스 식별자에 해당하는지 여부를 판별하는 기능을 수행하면서, 이러한 판별 기능을 통하여 모든 조건을 만족하는 경우에 클라이언트 단말에 거짓 HTTP 응답 메시지 전송하게 되는데(따라서, 선별된 디바이스에게만 거짓 HTTP 응답 메시지 전송), 거짓 HTTP 응답 메시지의 내용은 클라이언트 단말이 응답 웹 페이지의 프레임을 100% 프레임과 0% 프레임으로 나누도록 하고, 100% 프레임에 가입자가 원래 접속하려던 웹 사이트의 주소를 파라메타로 붙여서 검출/차단 웹서버로 접속하도록 하는 것이다.The
또한, 검출/차단 웹서버(250)는, 상기 푸쉬 서버(220)가 클라이언트 단말에 거짓 HTTP 응답 메시지를 보내어 트래픽을 리다이렉션시키는 목적지의 역할을 수행하는 것으로서 이 때 발생하는 DNS 요청 메시지 트래픽을 푸쉬 서버(220)에서 미러링하고 분석 서버(230)에서 그 요청 횟수를 분석할 수 있도록 동일한 도메인에 대한 DNS 요청 메시지를 발생시키는 목적지로서 제공되며, 그리고 상기 거짓 HTTP 응답 트래픽의 내용에 따라 클라이언트 단말의 HTTP 요청 트래픽을 사용자가 접속하기를 원하였던 웹 사이트 도메인으로 리다이렉션시키게 된다. In addition, the detection / blocking
여기에서, 본 발명에 따른 선별적인 검출 시스템을 형성하는 구성요소로서 검출/차단 웹서버(250)가 설명되고 되는데, 이러한 검출/차단 웹서버(250)는 그 명칭에만 따르면 디바이스 대수를 검출하는 기능과 초과 디바이스의 인터넷 접속을 차단하는 기능을 모두 수행하는 것으로 잘못 이해될 수 있으나, 본 발명의 적용 범위 내에서는 주요 기능이 일단 디바이스 대수를 검출하는 기능에 한정되는 것이고, 검출/차단 웹서버(250)에 별도로 제공되는 차단 기능을 통하여 차단 작업이 이루어 질 수 있음이 이해될 필요가 있다. 그럼에도 불구하고 본 명세서에서 그 명칭을 검출/차단 웹서버(250)로 지칭한 것은 본 출원인의 다른 특허출원에 설명된 발명들과 관계를 고려하여 명칭의 통일성을 유지하기 위한 것이다. 아울러, 앞서 설명된 바와 같이 본 발명에 따라서 클라이언트 디바이스의 특성을 추출하여 선별하고, 선별된 디바이스의 대수를 실질적으로 카운팅하는 기능을 수행하는 부분은 푸쉬 서버(220)와, 그리고 DB 서버(240)의 지원을 받는 분석 서버(230)가 담당하고 있으며, 검출/차단 웹서버(250)는 푸쉬 서버(220)가 단지 클라이언트 단말에 거짓 HTTP 응답 메시지를 보내어 트래픽을 리다이렉션시키는 목적지의 역할을 수행하는 것으로써 이 때 발생하는 검출/차단 웹서버(250)에 대한 DNS 요청 메시지 트래픽을 푸쉬 서버에서 미러링하고 분석 서버에서 분석할 수 있도록 하여서, 결국에는 본 발명의 주요 기능이 푸쉬 서버(220)와 분석 서버(240)에 의해 원활하게 수행될 수 있도록 하는 보조적인 역할을 수행하고 있다.Here, a detection / blocking
그리고, 상기 분석 서버(230)는 상기 푸쉬 서버(220)로부터 수신한 정보, 즉 거짓 DNS 메시지를 클라이언트 단말에 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 IP 또는 ID 값을 포함하는 DNS 이력 정보를 제1 DB 서버(240)에 저장(도 16의 화살표 ⑭-2 참조)하고, 제1 DB 서버(240)에 저장된 정보를 이용하여 클라이언트 단말이 푸쉬 서버(220)에서 지정한 시간(TTL 값, 예컨대 2시간) 동안 동일한 도메인과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅(도 17a 참조)하여 공유기(100)를 통하여 연결되어 동일한 공인 IP 주소를 사용하는 클라이언트 단말 중에서 선별된 디바이스의 대수를 산출하는 장치이다.The
한편, 푸쉬 서버(220)가 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송할 때, 클라이언트 단말의 IP 대신에 ID 값을 분석 서버(230)로 전송하려면 실시간 사용자 IP 할당 내역 정보를 제공하여 주는 추가적인 DB 서버를 구비하고 있어야 하는데, 이는 앞서 설명된 제1 DB 서버(240)와는 다른 기능을 제공하는 것이기에 그 명칭을 제2 DB 서버(도 17b 참조)로 칭하는데, 이러한 제2 DB 서버는 상술한 제1 DB 서버(240)와 물리적으로는 통합되어 구성될 수 있으며, 이와 달리 물리적으로 분리되어 별도로 구성될 수도 있다.Meanwhile, when the
여기에서, 클라이언트 단말에서는 오퍼레이팅 시스템의 커널단에 해당 도메인의 DNS 해석 결과인 IP 주소가 저장된 경우에는 이를 이용하여 해당 도메인에 접속하고 DNS 요청 메시지를 더 이상 발생하지 않게 된다.Here, if an IP address of a DNS analysis result of the corresponding domain is stored in the kernel unit of the operating system, the client terminal accesses the corresponding domain using the obtained IP address, and no longer generates a DNS request message.
따라서, 1대의 클라이언트 단말 디바이스에서는 동일한 도메인(예컨대, www.naver.com)에 대해서 푸쉬 서버(220)에서 지정된 시간(TTL 값; 예컨대 2 시간) 동안은 1회 이상 DNS 요청 메시지를 전송할 수 없으며, 이로써 지정된 시간 동안 동일한 도메인(즉, 검출/차단 웹서버의 도메인)과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하게 되면 공인 IP 주소를 공유하며 일정 시간 동안에 동일한 도메인(즉, 검출/차단 웹서버의 도메인)으로 인터넷 접속을 수행하도록 선별 처리된 클라이언트 단말의 디바이스 대수를 파악할 수 있게 된다. 이러한 분석 결과를 상당 기간 동안 업데이트하면서 확보하게 되면 공유기 등을 통하여 동일한 공인 IP로 접속하는 사설 네트워크 상의 클라이언트 단말 중에서 선별된 디바이스의 대수의 최소값(최소 몇 대를 공유기에 연결하여 사용중인 상태)을 파악할 수 있게 된다. 특히, 본 발명에서는 검출/차단 웹서버(250)는 푸쉬 서버(220)가 단지 클라이언트 단말에 거짓 HTTP 응답 메시지를 보내어 트래픽을 리다이렉션시키는 목적지의 역할을 수행하는 것으로써 이 때 발생하는 검출/차단 웹서버(250)에 대한 DNS 요청 메시지 트래픽을 푸쉬 서버(220)에서 미러링하고 분석 서버(230)에서 분석할 수 있도록 도움을 주는 보조적인 역할을 수행할 뿐이고, 직접적으로 클라이언트 디바이스의 특성을 추출하여 식별자를 통하여 선별하고, 선별된 디바이스의 대수를 직접 카운팅하는 기능을 수행하는 것은 푸쉬 서버(220)와 분석 서버(230) 및 DB 서버(240)를 통하여 이루어지게 된다.Therefore, one client terminal device can not transmit a DNS request message to the same domain (for example, www.naver.com) more than once for a designated time (TTL value: 2 hours) in the
본 발명에 따른 방법 발명과 관련하여서 도 3a 내지 도 3d의 순서도와, 그리고 도 2에 도시된 공인 IP 공유 상태 선별적 검출 시스템(200)의 작동 상태를 구체적으로 도시한 도 4 내지 도 21에 도시된 바와 같은 구체적인 방법의 바람직한 실시예에 따르면, 본 발명은 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법에 있어서, 3A to 3D in connection with the method inventions according to the present invention and FIGS. 4 to 21, which specifically show the operation state of the public IP sharing state
(I) 클라이언트 단말이 웹서버로 HTTP 요청 메시지 또는 DNS(Domain Name System; 네트워크에서 도메인이나 호스트 이름을 숫자로 된 IP 주소로 해석해주는 시스템) 서버(310)로 DNS 요청 메시지를 전송하는 단계(S110)와; (도 4의 화살표 ②, 도 8의 화살표 ⑥, 도 12의 화살표 ⑩ 참조)(I) transmitting a DNS request message to an HTTP request message to a web server or a DNS request message to a DNS (Domain Name System)
(II) 인터넷 서비스 제공자(ISP; Internet Service Provider)의 백 본 네트워크(Back Bone Network)에 제공되는 미러링 장치(210)가 클라이언트 단말로부터 발생한 HTTP 요청 메시지 또는 DNS 요청 메시지 트래픽을 미러링하고 그리고 상기 미러링된 HTTP 요청 메시지 또는 DNS 요청 메시지 트래픽을 푸쉬 서버(220)로 전송하는 클라이언트 단말의 HTTP 요청 메시지 또는 DNS 요청 메시지 트래픽의 미러링 단계(S200)와; (도 5의 화살표 ③, 도 9의 화살표 ⑦, 도 13의 화살표 ⑪ 참조)(II) A
(III) 상기 푸쉬 서버(220)가 유입되는 상기 미러링된 HTTP 요청 메시지 또는 DNS 요청 메시지 트래픽을 파싱(Parsing)하여(S310) HTTP 요청 메시지 또는 DNS 요청 메시지인지 확인(S320)하는 요청 메시지 확인 단계와; (도 6a의 화살표 ④, 도 10a의 화살표 ⑧, 도 14a의 화살표 ⑫ 참조)(III) parsing the mirrored HTTP request message or DNS request message traffic into which the
(a) 상기 요청 메시지 확인 단계((III)의 단계)에서 DNS 요청 메시지로 판별되는 경우에,(a) when the DNS request message is determined in the request message checking step ((III)),
(a-IV) 상기 푸쉬 서버(220)가 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출하는 DNS 요청 메시지 정보 추출 단계(S330a)와; (도 6b에 예시된 DNS 정보 참조)(a-IV) extracting a DNS request message information (S330a) for extracting a transaction ID and a domain name as information necessary for the
(a-V) 상기 푸쉬 서버(220)는 추출된 도메인이 검출/차단 웹서버(250)의 도메인(ipsd.com)인지 확인하고(S340a), 감시 중인 검출/차단 웹서버(250)의 도메인(ipsd.com)에 해당하는 경우(도 14a의 화살표 ⑫, 및 도 14b 참조)에 도메인 Name을 도메인 IP로 변환하고, 추출된 Transaction ID와 변환된 도메인 IP를 포함하는 거짓 DNS 응답을 생성하되 Answers 필드의 TTL(Time To Live) 값을 푸쉬 서버에서 지정하는 값(예컨대, 2시간)으로 설정한 거짓 DNS 응답 메시지(도 15b 및 도 15c 참조)를 생성하여 클라이언트 단말로 전송(도 15a의 화살표 ⑬ 참조)하는 거짓 DNS 응답 메시지 생성 및 전송 단계(S400)와;(aV) The
(a-VI-1) 상기 푸쉬 서버(220)는 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 검출/차단 웹서버(250)의 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송하는 단계(S500)와; (도 16의 화살표 ⑭-1 참조)(a-VI-1) The
(a-VI-2) 클라이언트 단말이 상기 거짓 DNS 응답 메시지 생성 및 전송 단계를 통하여 상기 거짓 DNS 메시지를 수신하게 되면 접속하도록 지정된 검출/차단 웹서버의 도메인(ipsd.com)(250)으로 접속하고(도 18a의 화살표 ⓐ-1 참조), 그리고 푸쉬 서버(220)에서 지정한 시간(TTL 값) 동안 해당 도메인에 대해서 DNS 요청 메시지를 발생시키지 않도록 푸쉬 서버(22)에서 지정한 시간(TTL 값) 만큼 오퍼레이팅 시스템의 커널단에 검출/차단 웹서버(250)의 도메인(ipsd.com)의 DNS 해석 결과인 IP 주소를 저장하는 검출/차단 웹서버의 도메인 IP 주소의 클라이언트 단말의 오퍼레이팅 시스템 커널단 저장 단계(S120a)와; (a-VI-2) When the client terminal receives the false DNS message through the generation and transmission of the false DNS response message, it connects to the domain (ipsd.com) 250 of the detection / blocking web server designated to access (TTL value) designated by the
(a-VII) 상기 분석 서버(23)는 푸쉬 서버(220)로부터 수신한 거짓 DNS 메시지를 클라이언트 단말에 응답한 시간, 클라이언트 단말이 요청한 검출/차단 웹서버의 도메인, 및 클라이언트 단말의 공인 IP 또는 ID 값을 포함하는 DNS 이력 정보를 제1 DB 서버(240)에 저장하는 DB 서버의 DNS 이력 정보 저장 단계(S600)와; (도 16의 화살표 ⑭-2 참조)(a-VII) The
(a-VIII) 상기 분석 서버(230)는 제1 DB 서버(240)에 저장된 정보를 이용하여 클라이언트 단말이 푸쉬 서버(220)에서 지정한 시간(TTL 값, 예컨대 2시간) 동안 검출/차단 웹서버(250)의 도메인(ipsd.com)과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하여(도 17a의 화살표 ⑮-a 참조) 공유기(100)를 통하여 연결되어 동일한 공인 IP 주소를 사용하는 클라이언트 단말(PC-1, PC-2, Smart Phone-1, Smart TV-1)의 선별된 디바이스의 대수를 산출하는 클라이언트 단말의 선별된 디바이스 대수 산출 단계(S700)를 포함하여 이루어지고,(a-VIII) The
(b) 상기 요청 메시지 확인 단계((III)의 단계)에서 HTTP 요청 메시지로 판별되는 경우(도 7에 도시된 바와 같은 DNS Response에 기초하여 도 8에 도시된 바와 같이 클라이언트 단말이 접속하고 하는 웹사이트(www.naver.com 웹 서버)로 3-way Handshaking 후에 HTTP Request(도 8의 화살표 ⑥ 참조)를 전송하는 상태를 거치고, 그리고는 도 9의 화살표 ⑦에 해당하는 미러링 과정과 도 10의 화살표 ⑧에 해당하는 HTTP 파싱 과정을 거친 결과로부터 HTTP 요청 메시지로 판별되는 경우)에는, (도 3a → 도 3b),(b) If the HTTP request message is determined in the request message checking step (step (III)) (based on the DNS response as shown in FIG. 7, After the 3-way handshaking to the site (www.naver.com web server), an HTTP Request (see
(b-IV) 상기 푸쉬 서버(220)가 HTTP 요청 메시지(도 10b 참조)에 포함된 URL, Referer, 및 User-Agent 정보를 추출하는 HTTP 요청 메시지 정보 추출 단계(S330b)와; (b-IV) an HTTP request message information extracting step (S330b) in which the
(b-V) 추출된 URL이 감시 대상인지 확인하고, HTTP 리다이렉션의 무한루프를 방지하도록 하는 Referer 조건을 확인하고, User-Agent에 포함되어 추출된 정보로써 HTTP 요청을 보낸 클라이언트 디바이스의 오퍼레이팅 시스템(OS) 또는 브라우저의 정보가 디바이스 대수 검출의 대상되는 선별 디바이스 식별자에 해당하는지 여부를 판별하는 클라이언트 디바이스 식별 단계(S340b)와;(bV) is a monitoring target, confirms a Referer condition for preventing an infinite loop of HTTP redirection, and checks whether or not the operating system (OS) of the client device that has sent the HTTP request as the extracted information contained in the User- Or a client device identification step (S340b) for determining whether the information of the browser corresponds to a target device identifier to be subjected to device logarithm detection;
(b-VI) 상기 (b-V) 단계의 조건들을 만족하는 경우에, 푸쉬 서버(220)는 클라이언트 단말에 거짓 HTTP 응답 메시지 전송하게 되는데(도 11a의 화살표 ⑨ 참조), 클라이언트 단말이 응답 웹 페이지의 프레임을 100% 프레임과 0% 프레임으로 나누고, 100% 프레임에 가입자가 원래 접속하려던 웹 사이트의 주소를 파라메타로 붙여서 검출/차단 웹서버로 접속(S120b)하도록 하는 내용의 거짓 HTTP 응답 메시지(도 11b 참조)를 클라이언트 단말에 전송하는 거짓 HTTP 응답 메시지 전송 단계(S350b)를 포함하여 이루어지며, 그리고the
상기 단계 (b-VI)에서 거짓 HTTP 응답 메시지를 전송 받은 클라이언트 단말은 검출/차단 웹서버(250)의 도메인 IP 주소를 알아내기 위하여 DNS 서버(310)로 DNS 요청 메시지를 전송(도 12의 화살표 ⑩ 참조)하도록 상기 단계 (I)로 진행([Go To S110])되는 것을 특징으로 하는 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 선별된 디바이스의 대수를 검출하는 방법을 제공한다.The client terminal having received the false HTTP response message in the step (b-VI) transmits a DNS request message to the
한편으로, 상기 DNS 요청 메시지 정보 추출 단계(S300)를 구성하는 하나의 세부 단계로서 DNS 요청 메시지인지 확인하는 단계(S320)는 DNS 요청 메시지 포맷이 정상인지를 확인하고, DNS 요청 메시지의 필드 값(예컨대, Flags 필드의 Response 값=0, Flags 필드의 Opcode 값=0, Questions 필드의 값=1, Queries 필드의 Type 값=1, Queries 필드의 Class 값=1)들을 확인함으로써 수행될 수 있으며, 여기에서 동시에 수행되는 HTTP 요청 메시지인지 확인하는 단계(S320)는 HTTP 요청 메시지 포맷이 정상인지를 확인하고 그리고 GET 방식의 요청 메시지인지 확인함으로써 수행될 수 있다.In step S320, it is determined whether the DNS request message format is normal. If the format of the DNS request message is the same as the DNS request message, For example, by checking the Response value = 0 of the Flags field, the Opcode value of the Flags field = 0, the value of the Questions field = 1, the Type value of the Queries field = 1, and the Class value of the Queries field = 1) (S320) may be performed by checking whether the format of the HTTP request message is normal and determining whether the HTTP request message is a GET request message.
아울러, 상기 (b-V)의 클라이언트 디바이스 식별 단계(S340b)에서 선행적으로 수행되는 확인 과정으로서, 추출된 URL이 감시 대상인지 확인하고, HTTP 리다이렉션의 무한루프를 방지하도록 하는 Referer 조건을 확인하는 과정은 구체적으로 다음의 조건을 확인하는 과정을 거쳐서 수행된다. (도 3b의 단계 (S340b) 참조)The process of confirming the Referer condition for checking whether the extracted URL is the monitoring target and preventing the infinite loop of the HTTP redirection is performed as a checking process performed in the step (bV) in the client device identifying step (S340b) Specifically, it is performed through a process of confirming the following conditions. (See step S340b of FIG. 3B)
① 추출된 URL이 감시 대상 URL 인지?① Is the extracted URL the watched URL?
- HTTP 요청 메시지에 대한 응답으로 HTTP 리다이렉션을 수행했을 때 클라이언트 단말(사용자의 스마트 디바이스)에서 문제가 발생하지 않고 정상적으로 리다이렉션이 되는 웹 페이지의 URL이 감시 대상 URL임. (본 명세서에 첨부된 도면에는 "www.naver.com"이 감시 대상 URL로 예시되어 있으며, 시스템 부하를 고려하여 적절한 갯수의 감시 대상 URL을 사전에 설정하여 이용한다.) - When the HTTP redirection is performed in response to the HTTP request message, the URL of the web page that normally redirects without causing a problem on the client terminal (the user's smart device) is the watched URL. (In the drawings attached to the present specification, "www.naver.com" is illustrated as a monitored URL, and an appropriate number of monitored URLs are set in advance in consideration of system load.
- 다만, 검출/차단 웹서버(250)의 URL은 제외함.However, the URL of the detection / blocking
② Referer가 존재하지 않는지? 만일, Referer가 존재한다면 Referer 필드의 값(URL)이 검출/차단 웹서버(250)의 URL이 아닌지?② Does Referer not exist? If the Referer exists, the value (URL) of the Referer field is not the URL of the detection / blocking
- 이 조건은 HTTP 리다이렉션의 무한루프를 방지하기 위한 조건이다.- This condition is a condition to prevent infinite loop of HTTP redirection.
③ 위와 같은 선행 조건의 확인 과정을 거친 다음에, User-Agent에 클라이언트 단말 중에서 선별하고자 하는 스마트 디바이스의 식별자가 존재하는지를 추가적으로 확인하게 되는데, User-Agent에는 HTTP 요청을 보낸 클라이언트 단말 (스마트 디바이스)의 OS 또는 브라우저의 정보가 들어 있으며, 이 정보를 이용하여 어떤 종류의 클라이언트 단말(일반 PC, 또는 스마트 폰이나 스마트 TV와 같은 스마트 디바이스)에서 발생한 HTTP 요청인지를 다음의 표 1과 같이 구별함으로써 이를 식별할 수 있다.③ After checking the above prerequisites, it is additionally checked whether there is an identifier of the smart device to be selected among the client terminals in the User-Agent. In the User-Agent, the client terminal (smart device) OS, or browser. Using this information, it is possible to distinguish the HTTP request generated from a certain type of client terminal (general PC, smart device such as smart phone or smart TV) as shown in the following Table 1 can do.
따라서, 본 발명의 바람직한 실시예에 따르면 이 단계에서 공유기에 연결된 클라이언트 단말 중에서 스마트 디바이스의 선별 작업이 가능하게 되고, 따라서 특정 스마트 디바이스의 대수나 전체 스마트 디바이스의 대수(사실상 최소 대수)를 파악할 수 있으며, 예컨대 스마트 폰과 같은 스마트 디바이스를 제외한 일반 PC의 대수를 검출하고자 하는 경우에 이러한 선별 작업이 가능하도록 한다.Therefore, according to the preferred embodiment of the present invention, it is possible to select the smart device among the client terminals connected to the router at this stage, and thus it is possible to grasp the number of specific smart devices or the total number of the entire smart devices For example, when it is desired to detect the number of general PCs except a smart device such as a smart phone.
이상에서 설명된 방법 발명의 실시예는 각각의 장치 구성요소들이 수행하는 각각의 단계들의 직렬적 관계와 병렬적 관계가 혼합적으로 나타나 있는 바, 이하에서는 본 발명의 보다 양호한 이해를 돕기 위하여 하나의 공유기(100)를 사용하여 공인 IP를 공유한 상태로 인터넷에 접속하는 클라이언트 단말에서 감시 대상이 되는 특정의 웹 사이트(예컨대, "www.naver.com"의 웹서버)로의 인터넷 접속을 요청하는 경우에 이러한 접속 요청이 처리되는 순차적인 과정을 도 4 내지 도 21을 참조하여 설명하기로 한다.The embodiment of the inventive method described above is a combination of the serial relationship and the parallel relationship of the respective steps performed by the respective device components. Hereinafter, in order to facilitate a better understanding of the present invention, When a client terminal that accesses the Internet with sharing the public IP using the
먼저, 클라이언트 단말(PC-1)이 감시 대상이 되는 특정의 웹서버("www.naver.com")로 인터넷 접속 요청(도 4의 화살표 ①)을 보내게 되는 경우에, 이 단말이 지난 2시간 동안에 특정의 웹서버("www.naver.com")에 접속한 사실이 없으면 오퍼레이팅 시스템(OS)의 커널단에 DNS 정보가 존재하지 않기에, 먼저 DNS 서버(310)로 DNS 요청 메시지를 전송(S110)하게 된다(도 4의 화살표 ②). First, when the client terminal PC-1 sends an Internet access request (
이 때, 인터넷 서비스 제공자(ISP)의 백 본 네트워크에 제공되는 미러링 장치(210)는 클라이언트 단말로부터 발생한 DNS 요청 메시지 트래픽을 미러링하고 그리고 상기 미러링된 DNS 요청 메시지 트래픽을 푸쉬 서버(220)로 전송하게 된다(S200; 도 5의 화살표 ③).At this time, the
그리고, 푸쉬 서버(220)는 유입되는 미러링된 DNS 요청 메시지 트래픽을 파싱하여(S310) DNS 요청 메시지인지 확인(S320)하게(도 6a의 화살표 ④)되는데, 그 확인 결과로부터 DNS 요청 메시지(도 6b 참조)로 판별되는 경우에 푸쉬 서버(220)는 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출(S330a)하며, 그 추출된 도메인이 검출/차단 웹서버(250)의 도메인(ipsd.com)인지 확인(S340a)하게 된다. 그런데, 이 경우에는 추출된 도메인이 ("www.naver.com")의 도메인이며 검출/차단 웹서버(250)의 도메인(ipsd.com)이 아니기 때문에 푸쉬 서버(220)는 미러링된 DNS 요청 메시지를 폐기하게 된다(도 6a 참조).The
한편, 클라이언트 단말(PC-1)로부터 DNS 서버(310)로 전송된 원본에 해당하는 DNS 요청 메시지에 응답하는 DNS 응답(Response) 메시지가 "www.naver.com"의 IP 주소를 클라이언트 단말(PC-1)에 회송되게 되며(도 7의 화살표 ⑤), 이로써 클라이언트 단말(PC-1)로부터 다시 "www.naver.com"로 HTTP 요청(Request) 메시지가 전송되게 된다(도 8의 화살표 ⑥). On the other hand, a DNS Response message responding to the DNS request message corresponding to the original sent from the client terminal PC-1 to the
이런 경우에도 다시금, 인터넷 서비스 제공자(ISP)의 백 본 네트워크에 제공되는 미러링 장치(210)는 클라이언트 단말로부터 발생한 HTTP 요청 메시지 트래픽을 미러링하고 그리고 상기 미러링된 HTTP 요청 메시지 트래픽을 푸쉬 서버(220)로 전송하게 된다(S200; 도 9의 화살표 ⑦).Again, the
그리고, 푸쉬 서버(220)는 유입되는 미러링된 HTTP 요청 메시지 트래픽을 파싱하여(S310) HTTP 요청 메시지인지 확인(S320)하게(도 10a의 화살표 ⑧)되는데, 그 확인 결과로부터 HTTPO 요청 메시지(도 10참조)로 판별되는 경우에 푸쉬 서버(220)는 HTTP 요청 메시지(도 10b 참조)에 포함된 URL, Referer, 및 User-Agent 정보를 추출하고 (S330b), 추출된 URL이 감시 대상인 "www.naver.com"의 URL인지 확인하면서, 아울러 HTTP 리다이렉션의 무한루프를 방지하도록 하는 Referer 조건을 확인하게 되는데 현재 처리되는 HTTP 요청 메시지(도 10b 참조)에는 Referer가 없기에 조건을 만족하는 것으로 판정하여, 다음 단계로 진행하게 된다. The
여기에서 다음 단계는, HTTP 요청 메시지의 User-Agent에 포함되어 있는 정보로써 HTTP 요청을 보낸 클라이언트 디바이스의 오퍼레이팅 시스템(OS) 또는 브라우저의 정보를 추출하게 되는데, 이와 같이 추출된 정보로부터 현재 접속 중인 클라이언트 단말(PC-1)이 디바이스 대수 검출의 대상되는 선별 디바이스 식별자에 해당하는지 여부를 판별(S340b)하게 된다. In the next step, information included in the User-Agent of the HTTP request message is extracted from the operating system (OS) or browser information of the client device that has sent the HTTP request. From the extracted information, It is determined whether or not the terminal PC-1 corresponds to the selector device identifier to be subjected to device number detection (S340b).
첨부된 도면 도 11a에 도시된 바와 같이 현재 접속 중인 클라이언트 단말(PC-1)이 일반적인 PC이고, 또한 본 발명에 따른 과정을 수행하는 목적이 이와 같은 일반적인 PC의 디바이스 대수를 검출하고자 하는 경우라면 이를 선별 조건들을 만족하는 경우로 판단하게 되어서, 푸쉬 서버(220)는 클라이언트 단말에 거짓 HTTP 응답 메시지 전송(S350b)하게 된다(도 11a의 화살표 ⑨ 참조). 한편, 도 11c에 도시된 바와 같이 현재 접속 중인 클라이언트 단말(Smart Phone-1)이 무선 공유기를 통한 와이파이(Wi-Fi) 접속을 주로 수행하는 스마트 디바이스인 스마트폰이고, 또한 본 발명에 따른 과정을 수행하는 목적이 이와 같은 스마트폰은 검출 대상에서 만일 제외하고자 하는 경우라면 이를 선별 조건들을 불만족하는 경우로 판단하게 되어서, 푸쉬 서버(220)는 클라이언트 단말에 거짓 HTTP 응답 메시지 전송하지 않게 된다(도 11c 참조).11A, if the current client terminal PC-1 is a general PC and the purpose of performing the process according to the present invention is to detect the number of devices of such general PC, It is determined that the selection conditions are satisfied, so that the
이러한 거짓 HTTP 응답 메시지는 도 11b에 예시된 바와 같이, 클라이언트 단말이 응답 웹 페이지의 프레임을 100% 프레임과 0% 프레임으로 나누고, 100% 프레임에 가입자가 원래 접속하려던 웹 사이트의 주소(url=http://www.naver.com/)를 파라메타로 붙여서 검출/차단 웹서버(ipsd.copm)(250)로 접속(S120b)하도록 하는 내용을 가진다.11B, the client terminal divides the frame of the response web page into a 100% frame and a 0% frame. In the 100% frame, the address of the website to which the subscriber originally attempted to access (url = http : //www.naver.com/) as parameters and connect to the detection / blocking web server (ipsd.copm) 250 (S120b).
이러한 거짓 HTTP 응답 메시지를 전송 받은 클라이언트 단말(PC-1)은 검출/차단 웹서버(ipsd.copm)(250)의 도메인 IP 주소를 알아내기 위하여 DNS 서버(310)로 DNS 요청 메시지를 전송(도 13의 화살표 ⑩ 참조)하게 되는데, 이와 같은 DNS 요청 메시지는 앞서 처음 설명한 바와 같이 인터넷 서비스 제공자(ISP)의 백 본 네트워크에 제공되는 미러링 장치(210)는 클라이언트 단말로부터 발생한 DNS 요청 메시지 트래픽을 미러링하고 그리고 상기 미러링된 DNS 요청 메시지 트래픽을 푸쉬 서버(220)로 전송하게 된다(S200; 도 13의 화살표 ⑪).The client terminal PC-1 having received the false HTTP response message transmits a DNS request message to the
그리고, 푸쉬 서버(220)는 유입되는 미러링된 DNS 요청 메시지 트래픽을 파싱하여(S310) DNS 요청 메시지인지 확인(S320)하게(도 14a의 화살표 ⑫)되는데, 그 확인 결과로부터 DNS 요청 메시지(도 14b 참조)로 판별되는 경우에 푸쉬 서버(220)는 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출(S330a)하며, 그 추출된 도메인이 검출/차단 웹서버(250)의 도메인(ipsd.com)인지 확인(S340a)하게 된다. 그런데, 이 경우에는 앞서 도 6a를 참조하여 설명된 과정과는 달리 추출된 도메인이 검출/차단 웹서버(250)의 도메인(ipsd.com)이기 때문에 푸쉬 서버(220)는 미러링된 DNS 요청 메시지를 폐기하지 않고, 거짓 DNS 응답 메시지(도 15b 및 도 15c)를 생성하여 클라이언트 단말(PC-1)로 전송하게 된다(S400; 도 15의 화살표 ⑬). 여기에서, 검출/차단 웹서버(250)의 도메인(ipsd.com)에 해당하는 경우(Yes)이기 때문에, 도 3d에 도시된 바와 같이 도메인 Name을 도메인 IP로 변환(S410)하고, 추출된 Transaction ID와 변환된 도메인 IP를 포함하는 거짓 DNS 응답을 생성하되 Answers 필드의 TTL(Time To Live) 값을 푸쉬 서버에서 지정하는 값(예컨대, 2시간)으로 설정한 거짓 DNS 응답 메시지(도 15b 및 도 15c 참조)를 생성(S420)하여, 생성된 거짓 DNS 응답 메시지를 클라이언트 단말(PC-1)로 전송(S430)하게 된다.14A). The
또한, 상기 푸쉬 서버(220)는 클라이언트 단말(PC-1)에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말(PC-1)이 요청한 검출/차단 웹서버(250)의 도메인, 및 클라이언트 단말(PC-1)의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송 (S500; 도 16의 화살표 ⑭-1)하게 되고, 클라이언트 단말(PC-1)은 상기 거짓 DNS 응답 메시지 생성 및 전송 단계를 통하여 상기 거짓 DNS 메시지를 수신하게 되면 접속하도록 지정된 검출/차단 웹서버의 도메인(ipsd.com)(250)으로의 접속(도 18a의 화살표 ⓐ-1 참조)을 시도하게 된다. 물론, 현재 접속 중인 클라이언트 단말(PC-1)은 푸쉬 서버(220)에서 지정한 시간(TTL 값) 동안 해당 도메인에 대해서 DNS 요청 메시지를 발생시키지 않도록 푸쉬 서버(22)에서 지정한 시간(TTL 값) 만큼 오퍼레이팅 시스템의 커널단에 검출/차단 웹서버(250)의 도메인(ipsd.com)의 DNS 해석 결과인 IP 주소를 저장하게 된다 (S120a). In addition, the
한편, 상기 분석 서버(23)는 푸쉬 서버(220)로부터 수신한 DNS 이력 정보, 즉 거짓 DNS 메시지를 클라이언트 단말에 응답한 시간, 클라이언트 단말이 요청한 검출/차단 웹서버의 도메인, 및 클라이언트 단말의 공인 IP 또는 ID 값을 포함하는 DNS 이력 정보를 제1 DB 서버(240)에 저장하게 된다(S600, 도 16의 화살표 ⑭-2 ).Meanwhile, the
그리고, 상기 분석 서버(230)는 제1 DB 서버(240)에 저장된 정보를 이용하여 클라이언트 단말이 푸쉬 서버(220)에서 지정한 시간(TTL 값, 예컨대 2시간) 동안 검출/차단 웹서버(250)의 도메인(ipsd.com)과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하여(도 17a의 화살표 ⑮-a 참조) 공유기(100)를 통하여 연결되어 동일한 공인 IP 주소를 사용하는 클라이언트 단말(PC-1, PC-2, Smart Phone-1, Smart TV-1)의 선별된 디바이스의 대수를 산출하는 클라이언트 단말의 선별된 디바이스 대수 산출 단계(S700)를 진행할 수 있게 된다.The
앞서 설명된 바와 같이 푸쉬 서버(220)가 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송할 때, 도 17b에 도시된 바와 같이 클라이언트 단말의 IP 대신에 ID 값을 분석 서버(230)로 전송하려면 실시간 사용자 IP 할당 내역 정보를 제공하여 주는 추가적인 제2 DB 서버를 구비하고 있어야 한다.As described above, the
이러한 미러링된 트래픽을 이용한 디바이스의 대수를 산출하는 단계의 진행과 무관하게, 앞서 설명된 바와 같이 거짓 HTTP 응답 메시지를 전송 받은 클라이언트 단말(PC-1)은 DNS 서버(310)로 DNS 요청 메시지를 전송(도 13의 화살표 ⑩ 참조)한 결과로써 검출/차단 웹서버(ipsd.copm)(250)의 도메인 IP 주소를 푸쉬 서버(220)로부터 또 다른 거짓 DNS 응답 메시지(DNS 서버로부터의 실제 응답 메시지는 후속 도착으로 폐기됨)를 통하여 전송받게 되었는 바, 이를 이용하여 검출/차단 웹서버(ipsd.copm)(250)로의 HTTP 접속을 시도하게 되는데, 이러한 접속은 이미 설명된 바와 같이 100% 프레임에 가입자가 원래 접속하려던 웹 사이트의 주소를 파라메타로 붙여서 검출/차단 웹서버(ipsd.copm)(250)로 접속하도록 하는 HTTP Request(요청) 메시지(도 18a의 화살표 ⓐ-1)를 검출/차단 웹서버(250)에게 전송하게 되고, 이러한 검출/차단 웹서버(ipsd.copm)(250)는 이 메시지에 기초하여 클라이언트 단말(PC-1)이 가입자가 원래 접속하려던 웹 사이트의 주소("www.naver.com")로 리다이렉션 접속되도록 한다.As described above, regardless of the progress of the step of calculating the number of devices using the mirrored traffic, the client terminal (PC-1) having received the false HTTP response message transmits a DNS request message to the DNS server 310 (Ipsd.copm) 250 from the
이와 같이 검출/차단 웹서버(ipsd.copm)(250)로 전송되는 HTTP Request(요청) 메시지 트래픽(도 18a의 화살표 ⓐ-1)도 미러링 장치(210)를 거치면서 다시 미러링되고, 미러링된 HTTP Request(요청) 메시지는 푸쉬 서버(220)로 유입(도 18a의 화살표 ⓐ-2)되게 되는데, 이 때 푸쉬 서버(220)는 유입된 HTTP Request(요청) 메시지(도 18b 참조)를 분석하여 그 접속 요청된 URL이 검출/차단 웹서버(250)의 URL (ipsd.com)임을 확인하고서는 더 이상의 처리를 하지 않고 미러링된 트래픽을 폐기하게 되는데, 이로써 무한 루프가 형성되는 것을 방지하게 된다.The HTTP request message traffic (arrow a-1 in FIG. 18A) transmitted to the detection / blocking web
그리고, 검출/차단 웹서버(ipsd.copm)(250)에 의해 클라이언트 단말(PC-1)이 가입자가 원래 접속하려던 웹 사이트의 주소("www.naver.com")로 리다이렉션 접속하도록 하는 HTTP 응답 메시지(도 19의 화살표 ⓑ) 받게 될 때, 원래 접속하려던 웹 사이트의 주소("www.naver.com")에 대한 DNS 정보는 이미 클라이언트 단말(PC-1)의 오퍼레이팅 시스템의 커널단에 저장되어 있기에 반복하여 다시 조회하지 않고서 ("www.naver.com")로의 HTTP 요청 메시지(도 20a의 화살표 ⓒ-1)를 보낼 수 있게 된다.Then, the client terminal PC-1 requests the redirection access to the address ("www.naver.com") of the website to which the subscriber originally attempted to access by the detection / blocking web server (ipsd.copm) DNS information on the address ("www.naver.com") of the website to which the web site was originally connected is already stored in the kernel terminal of the operating system of the client terminal (PC-1) Quot ;, it is possible to send an HTTP request message (arrow ⓒ-1 in FIG. 20A) to the server without repeatedly inquiring ("www.naver.com").
물론, 이러한 HTTP 요청 메시지(도 20a의 화살표 ⓒ-1) 역시 미러링 장치(210)를 거치면서 다시 미러링되고, 미러링된 HTTP Request(요청) 메시지는 푸쉬 서버(220)로 유입(도 20a의 화살표 ⓒ-2)되게 되는데, 이 때 푸쉬 서버(220)는 유입된 HTTP Request(요청) 메시지(도 20b 참조)를 분석하여 Referer 필드 값(URL)이 검출/차단 웹서버(250)의 URL임을 확인하고서 더 이상의 처리를 하지 않고 미러링된 트래픽을 폐기하게 되는데, 이 또한 무한 루프가 형성되는 것을 방지하는 기능을 하게 된다.Of course, the HTTP request message (arrow ⓒ-1 in FIG. 20A) is also mirrored again through the
한편으로, 이와 같이 미러링된 HTTP 요청 메시지가 결국 폐기 처리되기 때문에, ("www.naver.com")로 전송된 HTTP 요청 메시지에 대한 정상적인 HTTP 응답 메시지(도 21의 화살표 ⓓ)가 클라이언트 단말(PC-1)로 회송되어 장상적인 인터넷 접속이 수행되도록 한다.On the other hand, since the mirrored HTTP request message is eventually discarded, a normal HTTP response message (arrow d in Fig. 21) to the HTTP request message transmitted to "www.naver.com" -1) so that a superior Internet connection can be performed.
따라서, 1대의 클라이언트 단말 디바이스에서는 동일한 도메인에 대해서 푸쉬 서버에서 지정된 시간(TTL 값) 동안은 1회 이상 DNS 요청 메시지를 전송할 수 없으며, 그리하여 분석 서버(230)는 도 10a 및 도 10b에 도시된 바와 같이 제1 DB 서버(240)에 저장된 정보를 이용하여 지정된 시간 동안 동일한 도메인(www.naver.com)과 클라이언트 단말의 동일한 공인 IP 주소(IP-Addr1)로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하게 되면 공인 IP 주소를 공유하며 일정 시간 동안에 검출/차단 웹서버의 도메인으로 인터넷 접속을 수행하도록 선별 처리된 클라이언트 단말의 선별된 디바이스 대수를 파악할 수 있게 된다.Therefore, in one client terminal device, the DNS request message can not be transmitted to the same domain at least once during a designated time (TTL value) in the push server. Thus, the
본 발명을 구체적인 실시예를 통하여 설명하기 위하여 도면들을 통하여 예시된 DNS 요청 메시지와, 그리고 거짓 DNS 응답 메시지 및 거짓 HTTP 응답 메시지 및 이로부터 생성되는 사용자 요청 트래픽들은 이들은 하나의 예시에 불과하기에 다른 형태로 대체 제공됨이 가능함을 당업자라면 누구라도 이해할 수 있을 것이며, 본 발명에 따른 여러 실시예들은 단지 본 발명의 이해를 돕기 위한 예시 목적으로 제시된 것으로 본 발명은 이에 국한되지 않으며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 첨부된 특허청구범위에 기재된 기술 사상의 범주 내에서 다양한 변경 및 실시가 가능할 것이다.
The DNS request message, the false DNS response message, the false HTTP response message, and the user-requested traffic generated from the DNS request message illustrated through the drawings for explaining the present invention through specific embodiments are only examples, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the present invention as defined by the following claims and their equivalents. It will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention as defined in the appended claims.
100: IP 공유기
200: 공인 IP 공유 상태 검출 시스템
210: 미러링 장치
220: 푸쉬 서버
230: 분석 서버
240: 제1 DB 서버
250: 검출/차단 웹서버
310: DNS 서버100: IP router
200: Public IP sharing state detection system
210: Mirroring device
220: push server
230: Analysis server
240: first DB server
250: detection / blocking web server
310: DNS server
Claims (7)
(I) 클라이언트 단말이 웹서버로 HTTP 요청 메시지 또는 DNS 서버(310)로 DNS 요청 메시지를 전송하는 단계(S110)와;
(II) 인터넷 서비스 제공자(ISP)의 백 본 네트워크(Back Bone Network)에 제공되는 미러링 장치(210)가 클라이언트 단말로부터 발생한 HTTP 요청 메시지 또는 DNS 요청 메시지 트래픽을 미러링하고 그리고 상기 미러링된 HTTP 요청 메시지 또는 DNS 요청 메시지 트래픽을 푸쉬 서버(220)로 전송하는 클라이언트 단말의 HTTP 요청 메시지 또는 DNS 요청 메시지 트래픽의 미러링 단계(S200)와;
(III) 상기 푸쉬 서버(220)가 유입되는 상기 미러링된 HTTP 요청 메시지 또는 DNS 요청 메시지 트래픽을 파싱(Parsing)하여(S310) HTTP 요청 메시지 또는 DNS 요청 메시지인지 확인(S320)하는 요청 메시지 확인 단계와;
(a) 상기 요청 메시지 확인 단계((III)의 단계)에서 DNS 요청 메시지로 판별되는 경우에,
(a-IV) 상기 푸쉬 서버(220)가 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출하는 DNS 요청 메시지 정보 추출 단계(S330a)와;
(a-V) 상기 푸쉬 서버(220)는 추출된 도메인이 검출/차단 웹서버(250)의 도메인(ipsd.com)인지 확인하고(S340a), 감시 중인 검출/차단 웹서버(250)의 도메인(ipsd.com)에 해당하는 경우에 도메인 Name을 도메인 IP로 변환(S410)하고, 추출된 Transaction ID와 변환된 도메인 IP를 포함하는 거짓 DNS 응답을 생성하되 Answers 필드의 TTL(Time To Live) 값을 푸쉬 서버에서 지정하는 값으로 설정한 거짓 DNS 응답 메시지를 생성(S420)하여, 생성된 거짓 DNS 응답 메시지를 클라이언트 단말로 전송(S430)하는 거짓 DNS 응답 메시지 생성 및 전송 단계(S400)와;
(a-VI-1) 상기 푸쉬 서버(220)는 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 검출/차단 웹서버(250)의 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송하는 단계(S500)와;
(a-VI-2) 클라이언트 단말이 상기 거짓 DNS 응답 메시지 생성 및 전송 단계를 통하여 상기 거짓 DNS 메시지를 수신하게 되면 접속하도록 지정된 검출/차단 웹서버의 도메인(ipsd.com)(250)으로 접속하고, 그리고 푸쉬 서버(220)에서 지정한 시간 동안 해당 도메인에 대해서 DNS 요청 메시지를 발생시키지 않도록 푸쉬 서버(22)에서 지정한 시간 만큼 오퍼레이팅 시스템의 커널단에 검출/차단 웹서버(250)의 도메인(ipsd.com)의 DNS 해석 결과인 IP 주소를 저장하는 검출/차단 웹서버의 도메인 IP 주소의 클라이언트 단말의 오퍼레이팅 시스템 커널단 저장 단계(S120a)와;
(a-VII) 상기 분석 서버(23)는 푸쉬 서버(220)로부터 수신한 거짓 DNS 메시지를 클라이언트 단말에 응답한 시간, 클라이언트 단말이 요청한 검출/차단 웹서버의 도메인, 및 클라이언트 단말의 공인 IP 또는 ID 값을 포함하는 DNS 이력 정보를 제1 DB 서버(240)에 저장하는 DB 서버의 DNS 이력 정보 저장 단계(S600)와;
(a-VIII) 상기 분석 서버(230)는 제1 DB 서버(240)에 저장된 정보를 이용하여 클라이언트 단말이 푸쉬 서버(220)에서 지정한 시간 동안 검출/차단 웹서버(250)의 도메인(ipsd.com)과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하여 공유기(100)를 통하여 연결되어 동일한 공인 IP 주소를 사용하는 클라이언트 단말(PC-1, PC-2, Smart Phone-1, Smart TV-1)의 선별된 디바이스의 대수를 산출하는 클라이언트 단말의 선별된 디바이스 대수 산출 단계(S700)를 포함하여 이루어지고,
(b) 상기 요청 메시지 확인 단계((III)의 단계)에서 HTTP 요청 메시지로 판별되는 경우에는,
(b-IV) 상기 푸쉬 서버(220)가 HTTP 요청 메시지에 포함된 URL, Referer, 및 User-Agent 정보를 추출하는 HTTP 요청 메시지 정보 추출 단계(S330b)와;
(b-V) 추출된 URL이 감시 대상인지 확인하고, HTTP 리다이렉션의 무한루프를 방지하도록 하는 Referer 조건을 확인하고, User-Agent에 포함되어 추출된 정보로써 HTTP 요청을 보낸 클라이언트 디바이스의 오퍼레이팅 시스템(OS) 또는 브라우저의 정보가 디바이스 대수 검출의 대상되는 선별 디바이스 식별자에 해당하는지 여부를 판별하는 클라이언트 디바이스 식별 단계(S340b)와;
(b-VI) 상기 (b-V) 단계의 조건들을 만족하는 경우에, 푸쉬 서버(220)는 클라이언트 단말에 거짓 HTTP 응답 메시지 전송하게 되는데, 클라이언트 단말이 응답 웹 페이지의 프레임을 100% 프레임과 0% 프레임으로 나누고, 100% 프레임에 가입자가 원래 접속하려던 웹 사이트의 주소를 파라메타로 붙여서 검출/차단 웹서버로 접속(S120b)하도록 하는 내용의 거짓 HTTP 응답 메시지를 클라이언트 단말에 전송하는 거짓 HTTP 응답 메시지 전송 단계(S350b)를 포함하여 이루어지며, 그리고
상기 단계 (b-VI)에서 거짓 HTTP 응답 메시지를 전송 받은 클라이언트 단말은 검출/차단 웹서버(250)의 도메인 IP 주소를 알아내기 위하여 DNS 서버(310)로 DNS 요청 메시지를 전송하도록 상기 단계 (I)로 진행되는 것을 특징으로 하는 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 선별된 디바이스의 대수를 검출하는 방법.A method for detecting a device number of a plurality of client terminals on a private network using the same public IP from an Internet access request traffic of a client terminal making an Internet access request,
(I) the client terminal transmits an HTTP request message to the web server or a DNS request message to the DNS server 310 (S110);
(II) A mirroring apparatus 210 provided in a back bone network of an Internet service provider (ISP) mirrors an HTTP request message or a DNS request message traffic generated from a client terminal, and transmits the mirrored HTTP request message or A mirroring step S200 of a HTTP request message or a DNS request message traffic of a client terminal transmitting DNS request message traffic to the push server 220;
(III) parsing the mirrored HTTP request message or DNS request message traffic into which the push server 220 is input (S310) and confirming whether it is an HTTP request message or a DNS request message (S320) ;
(a) when the DNS request message is determined in the request message checking step ((III)),
(a-IV) extracting a DNS request message information (S330a) for extracting a transaction ID and a domain name as information necessary for the push server 220 to generate a false DNS response message;
(aV) The push server 220 confirms whether the extracted domain is the domain (ipsd.com) of the detection / blocking web server 250 (S340a) and checks whether the domain ipsd .com), the domain name is converted into a domain IP (S410), a false DNS response including the extracted Transaction ID and the converted domain IP is generated, and the TTL (Time To Live) A false DNS response message generation and transmission step (S400) of generating a false DNS response message set to a value designated by the server (S420) and transmitting the generated false DNS response message to the client terminal (S430);
(a-VI-1) The push server 220 determines the time when a false DNS message is responded to the client terminal, the domain of the detection / blocking web server 250 requested by the client terminal, and the public IP address or ID value (S500) the DNS history information including the DNS history information to the analysis server 230;
(a-VI-2) When the client terminal receives the false DNS message through the generation and transmission of the false DNS response message, it connects to the domain (ipsd.com) 250 of the detection / blocking web server designated to access (Ipsd.) Of the detection / blocking web server 250 to the kernel node of the operating system for a time designated by the push server 22 so as not to generate a DNS request message for the domain for a time designated by the push server 220. an operating system kernel terminal storage step (S120a) of the client terminal having the domain IP address of the detecting / blocking web server storing the IP address which is the result of the DNS analysis of the client terminal;
(a-VII) The analysis server 23 analyzes the time of responding to the client terminal with the false DNS message received from the push server 220, the domain of the detection / blocking web server requested by the client terminal, and the public IP of the client terminal A DNS history information storing step (S600) of a DB server storing DNS history information including an ID value in the first DB server (240);
(a-VIII) The analysis server 230 uses the information stored in the first DB server 240 to determine the domain (ipsd.) of the detection / blocking web server 250 for the time designated by the push server 220 by the client terminal. PC-2, PC-1, PC-2, and PC-3, which are connected through the router 100 and use the same public IP address by counting the maximum number of times the DNS request message is transmitted using the same ID or public IP address of the client terminal, (S700) of calculating the number of selected devices of the smart terminals (Smart Phone-1, Smart TV-1, Smart TV-1)
(b) the HTTP request message in the step (III) of checking the request message,
(b-IV) an HTTP request message information extracting step (S330b) in which the push server 220 extracts URL, Referer, and User-Agent information included in the HTTP request message;
(bV) is a monitoring target, confirms a Referer condition for preventing an infinite loop of HTTP redirection, and checks whether or not the operating system (OS) of the client device that has sent the HTTP request as the extracted information contained in the User- Or a client device identification step (S340b) for determining whether the information of the browser corresponds to a target device identifier to be subjected to device logarithm detection;
the push server 220 sends a false HTTP response message to the client terminal when the client terminal receives the frame of the response web page 100% frame and 0% of the frame of the response web page (b-VI) Frame, and transmits a false HTTP response message to the client terminal to transmit a false HTTP response message to the client terminal to connect to the detection / blocking web server (S120b) by attaching the address of the website to which the subscriber originally attempted to connect to the 100% Step < RTI ID = 0.0 > S350b, < / RTI &
In step (b-VI), the client terminal having received the false HTTP response message transmits the DNS request message to the DNS server 310 in order to determine the domain IP address of the detection / blocking web server 250, The method of claim 1, wherein the number of selected devices is one of a plurality of client terminals on a private network using the same public IP.
상기 (b-V)의 클라이언트 디바이스 식별 단계(S340b)에서 선행적으로 수행되는 확인 과정으로서, 추출된 URL이 감시 대상인지 확인하고, 그리고 HTTP 리다이렉션의 무한루프를 방지하도록 하는 Referer 조건을 확인하는 과정은, 각각
① 추출된 URL이 검출/차단 웹서버(250)의 URL을 제외한 감시 대상 URL 에 해당하는 제1 조건과; 그리고
② Referer가 존재하지 않는 조건에 해당하되, 만일 Referer가 존재하는 경우라도 Referer 필드의 값(URL)이 검출/차단 웹서버(250)의 URL이 아니라면 이 조건에 부합하는 것으로 판단되는 제2 조건을 충족시키는 지를 확인하며, 그리고
상기 제1 조건과 상기 제2 조건을 모두 충족하는 경우에, User-Agent에 포함되어 추출된 정보로써 HTTP 요청을 보낸 클라이언트 디바이스의 오퍼레이팅 시스템(OS) 또는 브라우저의 정보가 디바이스 대수 검출의 대상되는 선별 디바이스 식별자에 해당하는지 여부를 판별하는 것을 특징으로 하는 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 선별된 디바이스의 대수를 검출하는 방법.The method according to claim 1,
The process of confirming the Referer condition for confirming whether the extracted URL is the monitoring target and preventing the infinite loop of the HTTP redirection may be performed in the step (bV) each
(1) a first condition in which the extracted URL corresponds to a monitored URL excluding the URL of the detection / blocking web server 250; And
If the value of the Referer field (URL) is not the URL of the detection / blocking web server 250 even if the referer exists, the second condition that is determined to meet this condition is satisfied Confirm that they meet, and
If the information of the operating system (OS) or browser of the client device that has sent the HTTP request as the extracted information contained in the User-Agent satisfies both of the first condition and the second condition, The method comprising the steps of: determining whether or not the device identifiers correspond to a plurality of client terminals on the private network using the same public IP.
상기 푸쉬 서버(220)는,
미러링되어 유입된 HTTP Request(요청) 메시지를 분석하여 그 접속 요청된 URL이 검출/차단 웹서버(250)의 URL (ipsd.com)임을 확인하고서는 더 이상의 처리를 하지 않고 미러링된 트래픽을 폐기하도록 구성되며, 그리고
미러링되어 유입된 HTTP Request(요청) 메시지를 분석하여 Referer 필드 값(URL)이 검출/차단 웹서버(250)의 URL임을 확인하고서 더 이상의 처리를 하지 않고 미러링된 트래픽을 폐기하도록 구성되는 것을 특징으로 하는 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 선별된 디바이스의 대수를 검출하는 방법.5. The method of claim 4,
The push server 220,
It analyzes the mirrored HTTP Request message and confirms that the URL requested to be accessed is the URL (ipsd.com) of the detection / blocking web server 250 and discards the mirrored traffic without further processing And
(Mirrored) HTTP request (Request) message and confirms that the Referer field value (URL) is the URL of the detecting / blocking web server 250, and discards the mirrored traffic without any further processing A plurality of client terminals on a private network using the same public IP.
인터넷 서비스 가입자의 클라이언트 단말(PC-1, PC-2, Smart Phone-1, Smart TV-1)이 웹 브라우저를 구동하여 인터넷(300)상의 웹 사이트로 접속을 요청하는 경우에 접속하려는 웹 사이트의 IP 주소를 획득하기 위하여 클라이언트 단말로부터 DNS 서버 측으로 발생하는 DNS 요청 메시지 트래픽을 미러링하기 위한 것으로서 인터넷 서비스 제공자(ISP)의 백 본 네트워크(Backbone Network)에 위치하는 미러링 장치(210)와;
미러링되어 유입되는 상기 DNS 요청 메시지 트래픽을 파싱(Parsing)하여 DNS 요청 메시지인지 확인하고, 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출하며, 추출된 도메인이 푸쉬 서버가 감시 중인 도메인인지 확인하고, 감시 중인 도메인에 해당하는 경우에 도메인 Name을 도메인 IP로 변환하고, 추출된 Transaction ID와 변환된 도메인 IP를 포함하는 거짓 DNS 응답을 생성하되 Answers 필드의 TTL(Time To Live) 값을 사전 지정된 값으로 설정한 거짓 DNS 응답 메시지를 생성하여 클라이언트 단말로 전송하고서, 그 결과에 해당하는 사항으로서 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송하며, 그리고 상기 미러링장치(210)로부터 미러링받은 HTTP 요청 메시지에 포함된 URL, Referer, 및 User-Agent 정보를 추출하여, 추출된 URL이 감시 대상인지 확인하고, HTTP 리다이렉션의 무한루프를 방지하도록 하는 Referer 조건을 확인하고, User-Agent에 포함되어 추출된 정보로써 HTTP 요청을 보낸 클라이언트 디바이스의 오퍼레이팅 시스템 또는 브라우저의 정보가 디바이스 대수 검출의 대상되는 선별 디바이스 식별자에 해당하는지 여부를 판별하는 기능을 수행하면서, 이러한 판별 기능을 통하여 모든 조건을 만족하는 경우에 클라이언트 단말에 거짓 HTTP 응답 메시지 전송하게 되는데, 거짓 HTTP 응답 메시지의 내용은 클라이언트 단말이 응답 웹 페이지의 프레임을 100% 프레임과 0% 프레임으로 나누도록 하고, 100% 프레임에 가입자가 원래 접속하려던 웹 사이트의 주소를 파라메타로 붙여서 검출/차단 웹서버로 접속하도록 하는 거짓 HTTP 응답 메시지 전송하는 푸쉬 서버(220)와;
상기 푸쉬 서버(220)로부터 수신한 거짓 DNS 메시지를 클라이언트 단말에 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 IP 또는 ID 값을 포함하는 DNS 이력 정보를 제1 DB 서버(240)에 저장하고, 제1 DB 서버(240)에 저장된 정보를 이용하여 클라이언트 단말이 푸쉬 서버(220)에서 지정한 시간(TTL 값) 동안 동일한 도메인과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하여 공유기(100)를 통하여 연결되어 동일한 공인 IP 주소를 사용하는 클라이언트 단말의 선별된 디바이스의 대수를 산출하는 분석 서버(230)와, 그리고
상기 푸쉬 서버(220)가 클라이언트 단말에 거짓 HTTP 응답 메시지를 보내어 트래픽을 리다이렉션시키는 목적지의 역할을 수행하는 것으로서 이 때 발생하는 DNS 요청 메시지 트래픽을 푸쉬 서버(220)에서 미러링하고 분석 서버(230)에서 그 요청 횟수를 분석할 수 있도록 동일한 도메인에 대한 DNS 요청 메시지를 발생시키는 목적지로서 제공되며, 상기 거짓 HTTP 응답 트래픽의 내용에 따라 클라이언트 단말의 HTTP 요청 트래픽을 사용자가 접속하기를 원하였던 웹 사이트 도메인으로 리다이렉션시키는 검출/차단 웹서버(250)를 포함하여 이루어지는 공인 IP 공유 상태의 디바이스의 선별적인 검출 시스템.A method for detecting the number of devices selected from a plurality of client terminals on a private network using the same public IP,
When a client terminal (PC-1, PC-2, Smart Phone-1, Smart TV-1) of an Internet service subscriber drives a web browser to request access to a web site on the Internet 300, A mirroring device 210 located in a backbone network of an Internet service provider (ISP) for mirroring DNS request message traffic generated from a client terminal to a DNS server to obtain an IP address;
Parses the DNS request message traffic that is mirrored and infers that it is a DNS request message, extracts a Transaction ID and a domain name as information necessary for generating a false DNS response message, Domain, converts the domain name to a domain IP, generates a false DNS response including the extracted transaction ID and the converted domain IP, and sets a TTL (Time To Live) value in the Answers field To the client terminal and transmits a false DNS response message to the client terminal as a result corresponding to the result, a domain requested by the client terminal, and a public IP address of the client terminal DNS history information including an address or an ID value to the analysis server 230, A Referer condition for extracting the URL, Referer, and User-Agent information included in the mirrored HTTP request message from the mirroring device 210 to check whether the extracted URL is a monitoring target and to prevent an infinite loop of HTTP redirection And judges whether or not the information of the operating system or the browser of the client device that has sent the HTTP request as the extracted information included in the User-Agent corresponds to the selector device identifier to be subjected to the device logarithm detection, A false HTTP response message is transmitted to the client terminal. In the case of the false HTTP response message, the client terminal divides the frame of the response web page into 100% frame and 0% frame, and 100 % Frame the address of the website that the subscriber originally tried to access. A push server (220) for transmitting a false HTTP response message to be connected to the detection / blocking web server with a meta;
The first DB server 240 stores DNS history information including the time at which the false DNS message received from the push server 220 is responded to the client terminal, the domain requested by the client terminal, and the IP or ID value of the client terminal And transmits the DNS request message using the same ID or public IP address of the client terminal and the same domain for the time (TTL value) specified by the push server 220 using the information stored in the first DB server 240 An analysis server 230 that counts the maximum number of times to calculate the number of selected devices of the client terminals connected through the router 100 using the same public IP address,
The push server 220 performs a role of a destination for redirecting traffic by sending a false HTTP response message to the client terminal. The DNS request message traffic generated at this time is mirrored by the push server 220 and is transmitted to the analysis server 230 The web site domain is provided as a destination for generating a DNS request message for the same domain so as to analyze the number of requests, and the HTTP request traffic of the client terminal according to the contents of the false HTTP response traffic And a detection / blocking web server (250) for redirecting the public IP sharing state.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140072475A KR101518469B1 (en) | 2014-06-13 | 2014-06-13 | Method for detecting a number of the selected devices of a plurality of client terminals from the internet request traffics sharing the public IP address and System for detecting selectively the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140072475A KR101518469B1 (en) | 2014-06-13 | 2014-06-13 | Method for detecting a number of the selected devices of a plurality of client terminals from the internet request traffics sharing the public IP address and System for detecting selectively the same |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101518469B1 true KR101518469B1 (en) | 2015-05-07 |
Family
ID=53394132
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140072475A KR101518469B1 (en) | 2014-06-13 | 2014-06-13 | Method for detecting a number of the selected devices of a plurality of client terminals from the internet request traffics sharing the public IP address and System for detecting selectively the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101518469B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101661857B1 (en) * | 2015-07-13 | 2016-09-30 | 주식회사 수산아이앤티 | Method for counting the client using a shared IP |
KR20180013973A (en) | 2015-05-29 | 2018-02-07 | 코이토 덴코 가부시키가이샤 | Push button box |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100040631A (en) * | 2008-10-10 | 2010-04-20 | 플러스기술주식회사 | A method for allowing and blocking a user pc which can use internet at the same time in a private network thereof a method for analyzing and detecting a judgement about whether nat(network address translation) can be used or not using a traffic data, and the number of terminals sharing nat |
KR101002421B1 (en) * | 2010-04-09 | 2010-12-21 | 주식회사 플랜티넷 | Method for selectively permitting/blocking a plurality of internet request traffics sharing the public ip address and system for detecting and blocking internet request traffics sharing the public ip address |
-
2014
- 2014-06-13 KR KR1020140072475A patent/KR101518469B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100040631A (en) * | 2008-10-10 | 2010-04-20 | 플러스기술주식회사 | A method for allowing and blocking a user pc which can use internet at the same time in a private network thereof a method for analyzing and detecting a judgement about whether nat(network address translation) can be used or not using a traffic data, and the number of terminals sharing nat |
KR101002421B1 (en) * | 2010-04-09 | 2010-12-21 | 주식회사 플랜티넷 | Method for selectively permitting/blocking a plurality of internet request traffics sharing the public ip address and system for detecting and blocking internet request traffics sharing the public ip address |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180013973A (en) | 2015-05-29 | 2018-02-07 | 코이토 덴코 가부시키가이샤 | Push button box |
KR101661857B1 (en) * | 2015-07-13 | 2016-09-30 | 주식회사 수산아이앤티 | Method for counting the client using a shared IP |
WO2017010678A1 (en) * | 2015-07-13 | 2017-01-19 | 주식회사 수산아이앤티 | Method for counting clients using shared ip |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102298268B1 (en) | An apparatus for network monitoring based on edge computing and method thereof, and system | |
KR100900491B1 (en) | Method and apparatus for blocking distributed denial of service | |
US11095710B2 (en) | Detecting virtual private network usage | |
KR101518472B1 (en) | Method for detecting a number of the devices of a plurality of client terminals selected by a web server with additional non-specified domain name from the internet request traffics sharing the public IP address and System for detecting selectively the same | |
KR101002421B1 (en) | Method for selectively permitting/blocking a plurality of internet request traffics sharing the public ip address and system for detecting and blocking internet request traffics sharing the public ip address | |
WO2016006520A1 (en) | Detection device, detection method and detection program | |
CN102055813A (en) | Access controlling method for network application and device thereof | |
KR20150080588A (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
US20110016523A1 (en) | Apparatus and method for detecting distributed denial of service attack | |
US11388253B1 (en) | Proxy selection by monitoring quality and available capacity | |
KR101127246B1 (en) | Method of identifying terminals which share an ip address and apparatus thereof | |
CN107347015B (en) | Method, device and system for identifying content distribution network | |
CN110557358A (en) | Honeypot server communication method, SSLStrip man-in-the-middle attack perception method and related device | |
KR101518470B1 (en) | Method for detecting a number of the devices of a plurality of client terminals selected by a web server from the internet request traffics sharing the public IP address and System for detecting selectively the same | |
KR20070011711A (en) | The method of internet traffic control based on packet data and the system thereof | |
CN106411819A (en) | Method and apparatus for recognizing proxy Internet protocol address | |
KR101087291B1 (en) | A method for identifying whole terminals using internet and a system thereof | |
KR101518469B1 (en) | Method for detecting a number of the selected devices of a plurality of client terminals from the internet request traffics sharing the public IP address and System for detecting selectively the same | |
KR101518468B1 (en) | Method for detecting a number of client terminal from the internet request traffics sharing the public IP address and System for detecting the same | |
KR101518474B1 (en) | Method for selectively permitting/blocking a plurality of internet request traffics sharing the public IP address on the basis of current time and system for detecting and blocking internet request traffics sharing the public IP address on the current time | |
KR20100024723A (en) | System and method for analyzing alternative internet traffic using routing based on policy | |
US20230254281A1 (en) | Local network device connection control | |
KR101603692B1 (en) | Method of identifying terminals and system thereof | |
KR101603694B1 (en) | Method of identifying terminals and system thereof | |
KR101502589B1 (en) | Method of identifying terminals using web entity and apparatus thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20180425 Year of fee payment: 4 |