KR101804633B1 - 패킷 처리를 위한 장치 및 방법 - Google Patents
패킷 처리를 위한 장치 및 방법 Download PDFInfo
- Publication number
- KR101804633B1 KR101804633B1 KR1020150140193A KR20150140193A KR101804633B1 KR 101804633 B1 KR101804633 B1 KR 101804633B1 KR 1020150140193 A KR1020150140193 A KR 1020150140193A KR 20150140193 A KR20150140193 A KR 20150140193A KR 101804633 B1 KR101804633 B1 KR 101804633B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- communication port
- received
- outside
- communication
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
Abstract
본 발명은 패킷 처리를 위한 장치 및 방법에 관한 것이다. 본 발명에 따른 패킷 처리 장치는, 제1 통신 포트 및 제2 통신 포트와; 상기 제1 통신 포트로부터 패킷을 전달받고, 그 전달받은 패킷을 분석하여 정상 패킷이라 판단하는 경우 해당 패킷을 상기 제2 통신 포트로 전달하는 패킷 분석 처리부와; 외부로부터 상기 제1 통신 포트에 수신되는 패킷량과 상기 제2 통신 포트에서 외부로 전송되는 패킷량을 비교하여 에러 발생 여부를 판단하는 판단부와; 상기 판단부의 판단 결과 에러 발생 상황에 해당하는 경우 외부로부터 상기 제1 통신 포트를 통해 수신되는 패킷이 상기 패킷 분석 처리부로 전달되지 않고 상기 제2 통신 포트로 바이패스 되도록 제어하는 패킷 흐름 제어부를 포함하는 것을 특징으로 한다.
Description
본 발명은 패킷 처리를 위한 장치 및 방법에 관한 것으로, 보다 상세하게는 외부로부터 수신되는 패킷을 분석하여 정상 패킷 여부에 따라 적절한 조치를 취하는 장치 및 방법에 관한 것이다.
일반적으로 네트워크에는 서비스 인프라를 보호하기 위해 침입탐지 시스템(IPS : intrusion prevention system) 등이 구비된다.
예를 들어 IPS는 잠재적 위협을 인지한 후 이에 즉각적인 대응을 하기 위한 네트워크 보안 기술 중 예방적 차원의 접근방식에 해당하는데, IPS 역시, 다른 침입 탐지 시스템인 IDS와 마찬가지로 네트워크 트래픽을 감시한다.
공격자가 일단 네트워크 장치에 대한 액세스 권한을 획득하고 나면 시스템의 악의적인 이용이 매우 빠르게 진행될 수 있기 때문에, IPS 역시 네트워크 관리자가 설정해 놓은 일련의 규칙에 기반을 두고 즉각적인 행동을 취할 수 있도록 구성된다.
특히 IPS는 특정 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 IP주소 또는 포트에서 들어오는 모든 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신측에 전달한다.
그런데 이러한 종래의 침입탐지 시스템의 경우 패킷의 패턴을 분석하여 패킷 처리를 수행하는 기능에 있어서는 탁월한 능력을 보이고 있지만, 막상 스스로의 문제 발생에 대한 처리 능력은 상당히 부족하다는 단점이 있다.
즉, 종래의 침입탐지 시스템은 자체적으로 구비된 침입탐지 엔진 상태에 대한 오류 여부 체크 기능이 상당히 부족할 뿐만 아니라, 자체 침입탐지 엔진 상태 체크를 수행하는 경우라도 IPS 내부 트래픽 처리 로직상에 있는 모든 노드(Node)에 대한 감시 로직이 필요하므로 상당히 비효율적이고, 특히 예기치 않은 문제에 대한 대응은 전무한 실정이다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 안출된 것으로서, 그 목적은 각종 에러 상황에 대한 적절한 조치를 취할 수 있는 패킷 처리를 위한 장치 및 방법을 제공하는 것이다.
상기한 목적을 달성하기 위해 본 발명에 따른 패킷 처리 장치는, 제1 통신 포트 및 제2 통신 포트와; 상기 제1 통신 포트로부터 패킷을 전달받고, 그 전달받은 패킷을 분석하여 정상 패킷이라 판단하는 경우 해당 패킷을 상기 제2 통신 포트로 전달하는 패킷 분석 처리부와; 외부로부터 상기 제1 통신 포트에 수신되는 패킷량과 상기 제2 통신 포트에서 외부로 전송되는 패킷량을 비교하여 에러 발생 여부를 판단하는 판단부와; 상기 판단부의 판단 결과 에러 발생 상황에 해당하는 경우 외부로부터 상기 제1 통신 포트를 통해 수신되는 패킷이 상기 패킷 분석 처리부로 전달되지 않고 상기 제2 통신 포트로 바이패스 되도록 제어하는 패킷 흐름 제어부를 포함하여 구성된다.
또, 상기한 목적을 달성하기 위해 본 발명에 따른 복수 개의 통신 포트와, 상기 복수 개의 통신 포트 중 제1 통신 포트로부터 전달받은 패킷을 분석하여 정상 패킷이라 판단하는 경우 해당 패킷을 상기 복수 개의 통신 포트 중 제2 통신 포트로 전달하는 패킷 분석 처리부를 구비한 패킷 처리 장치의 제어방법은, 외부로부터 상기 제1 통신 포트에 수신되는 패킷량과 상기 제2 통신 포트에서 외부로 전송되는 패킷량을 비교하여 에러 발생 여부를 판단하는 단계와; 상기 단계의 판단 결과 에러 발생 상황에 해당하는 경우 외부로부터 상기 제1 통신 포트를 통해 수신되는 패킷이 상기 패킷 분석 처리부로 전달되지 않고 상기 제2 통신 포트로 바이패스 되도록 제어하는 단계를 포함하여 이루어진다.
이상 설명한 바와 같이 본 발명에 따르면, 패킷 처리 장치 내부의 패킷 분석 처리부에 기능 고장이 발생한 경우 통신 패킷이 하단의 네트워크 장치에 정상적으로 전달되지 않는 문제점을 바이패스 처리를 통해 해결할 수 있다.
또한 외부의 네트워크 장치에 문제가 발생한 경우 통신 포트의 링크 신호를 차단시킴으로써, 정상 동작하는 외부의 네트워크 장치가 다른 경로로 통신 패킷을 우회시키도록 할 수 있다.
도 1은 본 발명의 일 실시예에 따른 패킷 처리 장치를 포함하는 전체 통신 시스템의 개략 구성도이고,
도 2는 도 1의 기능 블록도이고,
도 3은 통신 패킷이 패킷 분석 처리부를 경유하는 경우와 바이패스 되는 경우를 비교하여 나타낸 도면이고,
도 4는 외부 네트워크 장치에 기능 고장이 발생한 경우 통신 패킷이 우회하지 않는 경우와 우회하는 경우를 비교하여 나타낸 도면이고,
도 5 및 도 6은 본 발명의 일 실시예에 따른 패킷 처리 장치의 제어흐름도이다.
도 2는 도 1의 기능 블록도이고,
도 3은 통신 패킷이 패킷 분석 처리부를 경유하는 경우와 바이패스 되는 경우를 비교하여 나타낸 도면이고,
도 4는 외부 네트워크 장치에 기능 고장이 발생한 경우 통신 패킷이 우회하지 않는 경우와 우회하는 경우를 비교하여 나타낸 도면이고,
도 5 및 도 6은 본 발명의 일 실시예에 따른 패킷 처리 장치의 제어흐름도이다.
이하에서는 첨부도면을 참조하여 본 발명에 대해 상세히 설명한다.
이하 본 발명에 따른 각 실시예는 본 발명의 이해를 돕기 위한 하나의 예에 불과하고, 본 발명이 이러한 실시예에 한정되는 것은 아니다. 특히 본 발명은 각 실시예에 포함되는 개별 구성, 개별 기능, 또는 개별 단계 중 적어도 어느 하나 이상의 조합으로 구성될 수 있다.
또한 이하 본 발명에 따른 각 실시예에서 언급하는 각 신호는 한 번의 연결 등에 의해 전송되는 하나의 신호를 의미할 수도 있지만, 후술하는 특정 기능 수행을 목적으로 전송되는 일련의 신호 그룹을 의미할 수도 있다. 즉, 각 실시예에서는 소정의 시간 간격을 두고 전송되거나 상대 장치로부터의 응답 신호를 수신한 이후에 전송되는 복수 개의 신호들이 편의상 하나의 신호명으로 표현될 수 있는 것이다.
본 발명의 일 실시예에 따른 패킷 처리 장치(100)를 포함하는 전체 통신 시스템의 개략 구성은 도 1에 도시된 바와 같다.
동 도면에 도시된 바와 같이 전체 통신 시스템은 제1 상단 네트워크 장치(210), 제2 상단 네트워크 장치(220), 제1 하단 네트워크 장치(310), 제2 하단 네트워크 장치(320), 패킷 처리 장치(100)를 포함하여 구성될 수 있다.
여기서 제1 상단 네트워크 장치(210), 제2 상단 네트워크 장치(220), 제1 하단 네트워크 장치(310), 제2 하단 네트워크 장치(320)는 패킷 송수신에 관여하는 장치로서, 예를 들어 라우터 등에 해당할 수 있다.
특히, 제1 상단 네트워크 장치(210)와 제1 하단 네트워크 장치(310)는 본 발명의 일 실시예에 따른 패킷 처리 장치(100)와 직접 통신하는 것으로서, 여기서 "상단"과 "하단"이라는 용어는 설명의 편의를 위해 붙인 것으로서, 제1 상단 네트워크 장치(210)는 예를 들어 외부 통신망(제1 네트워크(410))에 연결된 장치이고, 제1 하단 네트워크 장치(310)는 예를 들어 내부 통신망(제2 네트워크(420))에 연결된 장치이다.
마찬가지로 제1 상단 네트워크 장치(210)는 외부 통신망(제1 네트워크(410))에 연결됨과 아울러 제1 상단 네트워크 장치(210)와 직접 통신이 가능한 장치이고, 제1 하단 네트워크 장치(310)는 내부 통신망(제2 네트워크(420))에 연결됨과 아울러 상술한 제2 상단 네트워크 장치(220)와 직접 통신이 가능한 장치이다.
제1 네트워크(410)와 제2 네트워크(420)에는 라우터, 스위치, 사용자 단말 장치 등이 포함되어 있을 수 있다.
패킷 처리 장치(100)는 제1 상단 네트워크 장치(210) 및 제1 하단 네트워크 장치(310)와 직접 통신을 수행하면서, 제1 상단 네트워크 장치(210)로부터 수신되는 통신 패킷을 제1 하단 네트워크 장치(310)로 전송하고, 제1 하단 네트워크 장치(310)로부터 수신되는 통신 패킷을 제1 상단 네트워크 장치(210)로 전송하는 기능을 수행한다.
이때 패킷 처리 장치(100)는 수신된 통신 패킷을 분석하여 정상 패킷인지 여부를 판단하고, 그 판단 여부에 따라 적절한 조치를 취하는 기능을 수행한다.
예를 들어 패킷 처리 장치(100)는 수신된 통신 패킷이 해킹을 노리는 부적절한 패킷이라고 판단하는 경우 해당 통신 패킷을 드롭(Drop) 처리 할 수 있다.
이러한 패킷 처리 장치(100)는 구체적인 기능 블록은 도 2에 도시된 바와 같다.
동 도면에 도시된 바와 같이 패킷 처리 장치(100)는 제1 통신 포트(110), 제2 통신 포트(120), 제3 통신 포트(130), 패킷 분석 처리부(140), 판단부(150), 패킷 흐름 제어부(160), 신호 차단 제어부(170)를 포함하여 구성될 수 있다.
제1 통신 포트(110), 제2 통신 포트(120), 제3 통신 포트(130)는 외부의 소정 장치들로부터 통신 패킷을 수신하고, 또한 외부의 소정 장치들로 통신 패킷을 전송하는 송수신 인터페이스를 수행하는 것으로서, 예를 들어 NIC(Network Interface Card)에 해당할 수 있다.
특히, 제1 통신 포트(110)는 제1 상단 네트워크 장치(210)와 통신 패킷을 송수신하고, 제2 통신 포트(120)는 제1 하단 네트워크 장치(310)와 통신 패킷을 송수신한다.
여기서 제1 통신 포트(110)와 제2 통신 포트(120)에는 네트워크 주소(예를 들어 아이피 주소)가 할당되지 않고, 제3 통신 포트(130)에만 네트워크 주소(예를 들어 아이피 주소)가 할당될 수 있다.
이 경우 제1 통신 포트(110) 및 제2 통신 포트(120)를 경유하는 통신 패킷을 전송하는 외부 장치들은 패킷 처리 장치(100)의 존재 그 자체를 인식하지 못한다.
예를 들어 제1 상단 네트워크 장치(210)가 제1 하단 네트워크 장치(310)로 통신 패킷을 전송하면, 그 전송된 통신 패킷은 실제로는 제1 통신 포트(110)의 Rx를 통해 패킷 처리 장치(100)에 수신된 후 패킷 처리 장치(100) 내부 처리를 거친 후 제2 통신 포트(120)의 Tx를 통해 제1 하단 네트워크 장치(310)로 전송되는데, 제1 상단 네트워크 장치(210)는 이러한 패킷 처리 장치(100)를 경유하는 것을 전혀 인지하지 못할 수도 있다.
이처럼 제1 통신 포트(110)와 제2 통신 포트(120)에 아이피 주소가 할당되지 않고 동작하는 모드를 일명 'Transparent Mode'라고 하는데, 이는 Layer 3 모드로 동작하지 않고 브릿지 모드(Bridge Mode)로 실제 MAC/IP 주소가 없이 스텔스 상태로 동작하는 방식을 의미한다.
패킷 분석 처리부(140)는 제1 통신 포트(110)로부터 패킷을 전달받고 그 전달받은 패킷을 분석하여 정상 패킷이라 판단하는 경우 해당 패킷을 제2 통신 포트(120)로 전달하며, 마찬가지로 제2 통신 포트(120)로부터 패킷을 전달받은 경우 그 전달받은 패킷을 분석하여 정상 패킷이라 판단하는 경우 해당 패킷을 제1 통신 포트(110)로 전달하는 기능을 수행한다.
이러한 과정은 도 3(a)에 나타나 있다.
이때 패킷 분석 처리부(140)는 전달받은 패킷이 비정상 패킷이라 판단하는 경우 해당 패킷을 드롭(drop) 처리할 수 있다.
패킷 분석 처리부(140)가 정상 패킷인지 여부를 판단하는 것은 기 정의된 패킷 차단 정책에 의해 이루어질 수 있는데, 예를 들어 통신 패킷의 아이피 주소 등을 고려하여 판단할 수 있다.
이러한 패킷 차단 정책을 이용하여 정상 패킷인지 여부를 판단한 후 드롭 처리 여부를 결정하는 것 그 자체는 공지된 기술에 해당하므로 보다 상세한 설명을 생략한다.
판단부(150)는 외부(일 예로 제1 상단 네트워크 장치(210))로부터 제1 통신 포트(110)에 수신되는 패킷량과 제2 통신 포트(120)에서 외부(일 예로 제1 하단 네트워크 장치(310))로 전송되는 패킷량을 비교하여 에러 발생 여부를 판단하는 기능을 수행한다.
예를 들어 판단부(150)는 기 설정된 시간 동안 외부로부터 제1 통신 포트(110)에 수신되는 패킷의 증감 패턴과 제2 통신 포트(120)에서 외부로 전송되는 패킷의 증감 패턴이 다른 경우 에러 발생 상황이라 판단할 수 있다.
일 예로 판단부(150)는 제1 통신 포트(110)에 수신되는 패킷량이 증가하고 있으나, 제2 통신 포트(120)를 통해 전송되는 패킷량이 증가하지 않는 경우 에러 발생 상황이라 판단할 수 있는 것이다.
이러한 에러 발생 상황은 상술한 패킷 분석 처리부(140)의 기능 고장시 발생할 수 있다.
예를 들어 패킷 분석 처리부(140)의 기능을 수행하는 데몬 등과 같은 내부 서버 프로그램이 동작을 멈춘 경우, 제1 통신 포트(110)를 통해 수신되는 패킷이 패킷 분석 처리부(140)에 전달되기는 하지만 패킷 분석 처리부(140)가 통신 패킷을 제2 통신 포트(120)에 전달하지 않으므로, 결과적으로 제2 통신 포트(120)를 통해 외부로 통신 패킷이 송출되지 못하는 것이다.
또한 판단부(150)는 에러 발생 여부를 판단함에 있어서, 외부로부터 제1 통신 포트(110)에 수신되는 패킷량과 제2 통신 포트(120)에서 외부로 전송되는 패킷량뿐만 아니라 패킷 분석 처리부(140)에서 드롭 처리되는 패킷량을 고려할 수도 있다.
예를 들어 판단부(150)는 제1 통신 포트(110)에서 수신되는 패킷의 PPS(Packet Per Second), 제2 통신 포트(120)에서 외부로 전송되는 패킷의 PPS와, 패킷 분석 처리부(140)에서 드롭 처리된 패킷량을 모두 이용하여 에러 발생 상황 여부를 판단할 수 있다.
구체적인 예를 든다면 제1 통신 포트(110)에서 수신되는 패킷량에서 패킷 분석 처리부(140)에서 드롭 처리된 패킷량을 차감한 크기가 제2 통신 포트(120)에서 외부로 전송되는 패킷량과 차이가 있다면 판단부(150)는 에러 발생 상황이라 판단할 수 있다.
한편, 패킷 흐름 제어부(160)는 판단부(150)의 판단 결과 에러 발생 상황에 해당하는 경우 외부(일 예로 제1 상단 네트워크 장치(210))로부터 제1 통신 포트(110)를 통해 수신되는 패킷이 패킷 분석 처리부(140)로 전달되지 않고 제2 통신 포트(120)로 바이패스 되도록 제어하는 기능을 수행한다.
즉, 본 발명에 따른 패킷 처리 장치(100)는 침입 탐지 기능 수행이 주된 목적 중 하나이므로, 기본적으로는 수신되는 패킷들이 패킷 분석 처리부(140)로 전달되도록 구성되는데, 판단부(150)에서 에러 발생 상황이라고 판단하는 경우에는 패킷 흐름 제어부(160)는 수신된 통신 패킷이 패킷 분석 처리부(140)가 전달되지 않고 바이패스 되도록 제어하는 것이다.
즉, 제1 통신 포트(110)로 수신된 통신 패킷은 상술한 바와 같이 침입탐지 등의 판단을 위해 패킷 분석 처리부(140)를 거치도록 되어 있는데, 패킷 분석 처리부(140) 자체의 기능 고장이 발생하거나, 제1 통신 포트(110)와 패킷 분석 처리부(140) 간의 내부 통신 경로 또는 패킷 분석 처리부(140)와 제2 통신 포트(120) 간의 내부 통신 경로 상에 이상이 발생하는 경우에는 오히려 제1 상단 네트워크 장치(210)에서 발송한 통신 패킷이 제1 하단 네트워크 장치(310)로 전혀 전달되지 못하는 문제를 발생시키게 되는데, 상술한 바와 같이 패킷 흐름 제어부(160)가 제1 통신 포트(110)로 수신된 통신 패킷이 패킷 분석 처리부(140)를 경유하지 않도록 바이패스 시켜 제2 통신 포트(120)로 직접 전달되도록 하면, 종래의 문제점을 해결할 수 있는 것이다.
제1 통신 포트(110)로 수신된 통신 패킷이 제2 통신 포트(120)로 바이패스 되는 과정은 도 3(b)에 나타나 있다.
한편, 신호 차단 제어부(170)는 외부 네트워크 장치로 테스트 패킷을 전송한 후, 외부 네트워크 장치로부터 테스트 패킷에 대응되는 테스트 응답 패킷이 수신되지 않는 경우 제1 통신 포트(110)와 제2 통신 포트(120)의 링크 신호가 모두 차단되도록 제어하는 기능을 수행한다.
이러한 신호 차단 제어부(170)의 외부 네트워크 장치와의 통신이 앞서 설명한 제1 통신 포트(110) 또는 제2 통신 포트(120)를 통해 이루어질 수도 있지만, 아이피 주소가 할당된 제3 통신 포트(130)를 통해 수행함이 바람직하다.
예를 들어 신호 차단 제어부(170)는 제3 통신 포트(130)를 통해 제1 상단 네트워크 장치(210) 및 제1 하단 네트워크 장치(310)에 ICMP(Internet Control Message Protocol)에 따른 테스트 신호(일 예로 ping 신호)를 전송하고, 그 테스트 신호에 대응하여 제1 상단 네트워크 장치(210)와 제1 하단 네트워크 장치(310) 중 적어도 어느 하나로부터 테스트 응답 신호가 수신되지 않으면, 제1 통신 포트(110)와 제2 통신 포트(120)의 링크 신호 모두가 차단되도록 제어할 수 있다.
여기서 제1 통신 포트(110)와 제2 통신 포트(120)의 링크 신호는 Layer 1의 신호로서, 물리적, 전기적 신호에 해당한다.
즉, 제1 통신 포트(110)와 제2 통신 포트(120)는 전송 데이터가 없는 경우라도 물리적, 전기적 신호는 유지하고 있는데, 신호 차단 제어부(170)는 소정의 조건이 만족되는 경우 제1 통신 포트(110)와 제2 통신 포트(120)의 이러한 물리적, 전기적 신호 자체를 차단시키는 기능을 수행하는 것이다.
예를 들어 제1 상단 네트워크 장치(210)는 정상 동작을 하지만 제1 하단 네트워크 장치(310)는 기능 이상이 발생하여 정상 동작하지 않는 상황을 가정하면, 제1 상단 네트워크 장치(210)가 전송한 통신 패킷은 패킷 처리 장치(100)를 경유하여 제1 하단 네트워크 장치(310)에 도달하지만, 제1 하단 네트워크 장치(310)는 더 이상 통신 패킷을 제2 네트워크(420)로 전달하지 못한다. 이러한 상황은 도 4(a)에 나타나 있다.
이처럼 제1 하단 네트워크 장치(310)가 정상 동작하지 못하는 경우, 신호 차단 제어부(170)는 제1 상단 네트워크 장치(210)에 전송한 테스트 패킷에 대해서는 제1 상단 네트워크 장치(210)로부터 테스트 응답 신호를 수신할 수 있지만 제1 하단 네트워크 장치(310)에 전송한 테스트 패킷에 대해서는 제1 하단 네트워크 장치(310)로부터 테스트 응답 신호를 수신하지 못한다.
이 경우 신호 차단 제어부(170)는 제1 통신 포트(110)와 제2 통신 포트(120)의 링크 신호 모두를 차단하게 되는데, 이렇게 제1 통신 포트(110)의 링크 신호가 차단되면 제1 상단 네트워크 장치(210)는 직접 연결된 상대 장치(즉, 패킷 처리 장치(100))의 통신 포트 차단을 감지하여 다른 경로로 통신 패킷을 전송한다.
예를 들어 제1 상단 네트워크 장치(210)는 제2 상단 네트워크 장치(220)로 통신 패킷을 전송하고, 이에 제2 상단 네트워크 장치(220)는 제2 하단 네트워크 장치(320)로 통신 패킷을 전달하며, 결국 제2 하단 네트워크 장치(320)에 의해 통신 패킷이 제2 네트워크(420)로 전달된다.
즉, 제1 상단 네트워크 장치(210)는 제1 하단 네트워크 장치(310)의 기능 고장을 감지하지 못하면 계속해서 통신 패킷을 제1 하단 네트워크 장치(310) 쪽으로 전송하게 되는데, 상술한 바와 같이 패킷 처리 장치(100)의 제1 통신 포트(110)의 링크 신호 차단을 감지함으로써 제1 하단 네트워크 장치(310)의 기능 고장을 간접적으로 판단할 수 있고, 따라서 통신 패킷의 전송 경로를 변경할 수 있는 것이다.
이러한 과정을 거치면 제1 하단 네트워크 장치(310)에 기능 고장이 발생하였다 하여도, 제1 상단 네트워크 장치(210)에 수신된 통신 패킷이 제2 상단 네트워크 장치(220) 및 제2 하단 네트워크 장치(320)를 경유하여 제2 네트워크(420)에 정상적으로 전달될 수 있는데 이러한 과정은 도 4(b)에 나타나 있다.
이하에서는 도 5를 참조하여 본 발명의 일 실시예에 따른 패킷 처리 장치(100)가 수신된 통신 패킷을 바이패스 처리하는 핵심적인 제어 흐름을 정리하여 설명하면 다음과 같다.
패킷 처리 장치(100)는 제1 통신 포트(110)의 패킷 수신량과 제2 통신 포트(120)의 패킷 수신량을 판단한다(단계 S1).
판단 결과 제1 통신 포트(110)의 패킷 증감 패턴이 제2 통신 포트(120)의 패킷 증감 패턴과 기 설정된 범위를 벗어날 정도로 차이가 있는 경우(단계 S3), 패킷 처리 장치(100)는 제1 통신 포트(110)로 수신되는 패킷에 대해 침입탐지 등을 판별하지 않고 제2 통신 포트(120)로 곧바로 전달되도록 바이패스 처리한다(단계 S5).
한편, 도 6은 본 발명의 일 실시예에 따른 패킷 처리 장치(100)가 제1 상단 네트워크 장치(210)로 수신되는 통신 패킷이 다른 경로로 전달되도록 하는 제어 과정을 나타낸다.
패킷 처리 장치(100)는 주기적으로 제1 상단 네트워크 장치(210) 및 제1 하단 네트워크 장치(310)에 ICMP에 따른 PING(Packet INternet Groper) 신호를 전송한다(단계 S11).
이러한 PING 신호에 대해 제1 상단 네트워크 장치(210) 또는 제1 하단 네트워크 장치(310)로부터 응답 신호가 수신되지 않으면(단계 S13), 패킷 처리 장치(100)는 제1 통신 포트(110) 및 제2 통신 포트(120)의 링크 신호를 모두 차단한다(단계 S15).
이에 따라 정상 동작하는 제1 상단 네트워크 장치(210) 또는 제1 하단 네트워크 장치(310)는 다른 경로를 통한 통신 패킷 송수신을 처리하게 된다.
한편, 상술한 각 실시예를 수행하는 과정은 소정의 기록 매체(예를 들어 컴퓨터로 판독 가능한)에 저장된 프로그램 또는 애플리케이션에 의해 이루어질 수 있음은 물론이다. 여기서 기록 매체는 RAM(Random Access Memory)과 같은 전자적 기록 매체, 하드 디스크와 같은 자기적 기록 매체, CD(Compact Disk)와 같은 광학적 기록 매체 등을 모두 포함한다.
이때, 기록 매체에 저장된 프로그램은 컴퓨터나 스마트폰 등과 같은 하드웨어 상에서 실행되어 상술한 각 실시예를 수행할 수 있다. 특히, 상술한 본 발명에 따른 패킷 처리 장치의 기능 블록 중 적어도 어느 하나는 이러한 프로그램 또는 애플리케이션에 의해 구현될 수 있다.
또한, 본 발명은 상기한 특정 실시예에 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 변형 및 수정하여 실시할 수 있는 것이다. 이러한 변형 및 수정이 첨부되는 특허청구범위에 속한다면 본 발명에 포함된다는 것은 자명할 것이다.
100 : 패킷 처리 장치 210 : 제1 상단 네트워크 장치
220 : 제2 상단 네트워크 장치 310 : 제1 하단 네트워크 장치
320 : 제2 하단 네트워크 장치 410 : 제1 네트워크
420 : 제2 네트워크 110 : 제1 통신 포트
120 : 제2 통신 포트 130 : 제3 통신 포트
140 : 패킷 분석 처리부 150 : 판단부
160 : 패킷 흐름 제어부 170 : 신호 차단 제어부
220 : 제2 상단 네트워크 장치 310 : 제1 하단 네트워크 장치
320 : 제2 하단 네트워크 장치 410 : 제1 네트워크
420 : 제2 네트워크 110 : 제1 통신 포트
120 : 제2 통신 포트 130 : 제3 통신 포트
140 : 패킷 분석 처리부 150 : 판단부
160 : 패킷 흐름 제어부 170 : 신호 차단 제어부
Claims (12)
- 제1 통신 포트 및 제2 통신 포트와;
상기 제1 통신 포트로부터 패킷을 전달받고, 그 전달받은 패킷을 분석하여 정상 패킷이라 판단하는 경우 해당 패킷을 상기 제2 통신 포트로 전달하는 패킷 분석 처리부와;
외부로부터 상기 제1 통신 포트에 수신되는 패킷량과 상기 제2 통신 포트에서 외부로 전송되는 패킷량을 비교하여 에러 발생 여부를 판단하는 판단부와;
상기 판단부의 판단 결과 에러 발생 상황에 해당하는 경우 외부로부터 상기 제1 통신 포트를 통해 수신되는 패킷이 상기 패킷 분석 처리부로 전달되지 않고 상기 제2 통신 포트로 바이패스 되도록 제어하는 패킷 흐름 제어부를 포함하고,
상기 판단부는 기 설정된 시간 동안 외부로부터 상기 제1 통신 포트에 수신되어 상기 패킷 분석 처리부로 전달되는 패킷의 증감 패턴과 상기 패킷 분석 처리부로부터 출력되어 상기 제2 통신 포트를 통해 외부로 전송되는 패킷의 증감 패턴이 서로 다른 경우 에러 발생 상황이라 판단하는 것을 특징으로 하는 패킷 처리 장치. - 삭제
- 제1항에 있어서,
상기 패킷 분석 처리부는 상기 제1 통신 포트로부터 전달받은 패킷이 비정상 패킷이라 판단하는 경우 해당 패킷을 드롭(drop) 처리하고,
상기 판단부는 외부로부터 상기 제1 통신 포트에 수신되는 패킷의 PPS(Packet Per Second), 상기 제2 통신 포트에서 외부로 전송되는 패킷의 PPS, 상기 패킷 분석 처리부에서 드롭 처리된 패킷량을 모두 이용하여 에러 발생 상황 여부를 판단하는 것을 특징으로 하는 패킷 처리 장치. - 제1항에 있어서,
외부 네트워크 장치로 테스트 패킷을 전송한 후, 상기 외부 네트워크 장치로부터 상기 테스트 패킷에 대응되는 테스트 응답 패킷이 수신되지 않는 경우 상기 제1 통신 포트와 상기 제2 통신 포트의 링크 신호가 모두 차단되도록 제어하는 신호 차단 제어부를 포함하는 것을 특징으로 하는 패킷 처리 장치. - 제4항에 있어서,
네트워크 주소가 할당된 제3 통신 포트를 더 포함하고,
상기 제1 통신 포트와 상기 제2 통신 포트는 네트워크 주소가 할당되지 않은 포트이고,
상기 신호 차단 제어부는 상기 제3 통신 포트를 통해 상기 외부 네트워크 장치와 통신하는 것을 특징으로 하는 패킷 처리 장치. - 복수 개의 통신 포트와, 상기 복수 개의 통신 포트 중 제1 통신 포트로부터 전달받은 패킷을 분석하여 정상 패킷이라 판단하는 경우 해당 패킷을 상기 복수 개의 통신 포트 중 제2 통신 포트로 전달하는 패킷 분석 처리부를 구비한 패킷 처리 장치의 제어방법에 있어서,
(a) 외부로부터 상기 제1 통신 포트에 수신되는 패킷량과 상기 제2 통신 포트에서 외부로 전송되는 패킷량을 비교하여 에러 발생 여부를 판단하는 단계와;
(b) 상기 (a) 단계의 판단 결과 에러 발생 상황에 해당하는 경우 외부로부터 상기 제1 통신 포트를 통해 수신되는 패킷이 상기 패킷 분석 처리부로 전달되지 않고 상기 제2 통신 포트로 바이패스 되도록 제어하는 단계를 포함하고,
상기 (a) 단계에서는 기 설정된 시간 동안 외부로부터 상기 제1 통신 포트에 수신되어 상기 패킷 분석 처리부로 전달되는 패킷의 증감 패턴과 상기 패킷 분석 처리부로부터 출력되어 상기 제2 통신 포트를 통해 외부로 전송되는 패킷의 증감 패턴이 서로 다른 경우 에러 발생 상황이라 판단하는 것을 특징으로 하는 패킷 처리 장치의 제어방법. - 삭제
- 제6항에 있어서,
상기 패킷 분석 처리부가 상기 제1 통신 포트로부터 전달받은 패킷이 비정상 패킷이라 판단하는 경우 해당 패킷을 드롭(drop) 처리하는 기능을 포함하는 경우,
상기 (a) 단계에서는 외부로부터 상기 제1 통신 포트에 수신되는 패킷의 PPS(Packet Per Second), 상기 제2 통신 포트에서 외부로 전송되는 패킷의 PPS, 상기 패킷 분석 처리부에서 드롭 처리된 패킷량을 모두 이용하여 에러 발생 상황 여부를 판단하는 것을 특징으로 하는 패킷 처리 장치의 제어방법. - 제6항에 있어서,
(c) 외부 네트워크 장치로 테스트 패킷을 전송한 후, 상기 외부 네트워크 장치로부터 상기 테스트 패킷에 대응되는 테스트 응답 패킷이 수신되지 않는 경우 상기 제1 통신 포트와 상기 제2 통신 포트의 링크 신호가 모두 차단되도록 제어하는 단계를 더 포함하는 것을 특징으로 하는 패킷 처리 장치의 제어방법. - 제9항에 있어서,
상기 복수 개의 통신 포트가 네트워크 주소가 할당되지 않은 상기 제1 통신 포트 및 상기 제2 통신 포트와 네트워크 주소가 할당된 제3 통신 포트를 포함하는 경우,
상기 (c) 단계에서 상기 외부 네트워크 장치와의 통신은 상기 제3 통신 포트를 통해 이루어지는 것을 특징으로 하는 패킷 처리 장치의 제어방법. - 제6항, 제8항 내지 제10항 중 어느 한 항의 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.
- 하드웨어와 결합되어 제6항, 제8항 내지 제10항 중 어느 한 항의 방법을 실행시키기 위하여 컴퓨터 판독가능 기록매체에 저장된 애플리케이션.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150140193A KR101804633B1 (ko) | 2015-10-06 | 2015-10-06 | 패킷 처리를 위한 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150140193A KR101804633B1 (ko) | 2015-10-06 | 2015-10-06 | 패킷 처리를 위한 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20170040924A KR20170040924A (ko) | 2017-04-14 |
| KR101804633B1 true KR101804633B1 (ko) | 2018-01-10 |
Family
ID=58579534
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020150140193A KR101804633B1 (ko) | 2015-10-06 | 2015-10-06 | 패킷 처리를 위한 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101804633B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102247167B1 (ko) * | 2019-10-30 | 2021-04-30 | 주식회사 엘지유플러스 | 통신 네트워크 관리 방법 및 장치 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR200398406Y1 (ko) * | 2005-07-07 | 2005-10-12 | 주식회사 윈스테크넷 | 고가용성 네트워크 트래픽 제어장치 |
| KR101388627B1 (ko) * | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | 4g 이동통신망에서의 비정상 트래픽 차단 장치 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101518852B1 (ko) | 2013-12-23 | 2015-05-13 | 주식회사 시큐아이 | Ips 장치 및 ids 장치를 포함하는 보안 시스템 및 그것의 동작 방법 |
-
2015
- 2015-10-06 KR KR1020150140193A patent/KR101804633B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR200398406Y1 (ko) * | 2005-07-07 | 2005-10-12 | 주식회사 윈스테크넷 | 고가용성 네트워크 트래픽 제어장치 |
| KR101388627B1 (ko) * | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | 4g 이동통신망에서의 비정상 트래픽 차단 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20170040924A (ko) | 2017-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9749011B2 (en) | Physical unidirectional communication apparatus and method | |
| US9813448B2 (en) | Secured network arrangement and methods thereof | |
| US9198118B2 (en) | Rogue wireless access point detection | |
| CN110391988B (zh) | 网络流量控制方法、系统及安全防护装置 | |
| EP3143714A1 (en) | Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn) | |
| US11316861B2 (en) | Automatic device selection for private network security | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| US10375099B2 (en) | Network device spoofing detection for information security | |
| KR20130124692A (ko) | 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법 | |
| US20200067883A1 (en) | Port Authentication Control For Access Control and Information Security | |
| US10462141B2 (en) | Network device information validation for access control and information security | |
| KR101835315B1 (ko) | Ips 스위치 장치 및 처리 방법 | |
| WO2012053061A1 (ja) | スイッチ装置、情報処理装置、スイッチ装置の制御方法及びプログラム | |
| KR101804633B1 (ko) | 패킷 처리를 위한 장치 및 방법 | |
| CN115885502A (zh) | 对中间网络节点进行诊断 | |
| JP2008278357A (ja) | 通信回線切断装置 | |
| KR101881061B1 (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
| US11159533B2 (en) | Relay apparatus | |
| EP3133790B1 (en) | Message sending method and apparatus | |
| KR100765340B1 (ko) | 가상의 인라인 네트워크 보안방법 | |
| KR200398406Y1 (ko) | 고가용성 네트워크 트래픽 제어장치 | |
| JP6870386B2 (ja) | マルウェア不正通信対処システム及び方法 | |
| KR101776128B1 (ko) | 보안 장치 및 이의 동작 방법 | |
| US10616094B2 (en) | Redirecting flow control packets | |
| TWI732708B (zh) | 基於多接取邊緣運算的網路安全系統和網路安全方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |