KR102152395B1 - Apparatus for detecting Slow HTTP POST DoS Attack - Google Patents

Apparatus for detecting Slow HTTP POST DoS Attack Download PDF

Info

Publication number
KR102152395B1
KR102152395B1 KR1020180083631A KR20180083631A KR102152395B1 KR 102152395 B1 KR102152395 B1 KR 102152395B1 KR 1020180083631 A KR1020180083631 A KR 1020180083631A KR 20180083631 A KR20180083631 A KR 20180083631A KR 102152395 B1 KR102152395 B1 KR 102152395B1
Authority
KR
South Korea
Prior art keywords
main server
information
connection
data size
post
Prior art date
Application number
KR1020180083631A
Other languages
Korean (ko)
Other versions
KR20200009366A (en
Inventor
이기훈
Original Assignee
한국중부발전(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국중부발전(주) filed Critical 한국중부발전(주)
Priority to KR1020180083631A priority Critical patent/KR102152395B1/en
Publication of KR20200009366A publication Critical patent/KR20200009366A/en
Application granted granted Critical
Publication of KR102152395B1 publication Critical patent/KR102152395B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2895Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 클라이언트가 웹서버로 HTTP 프로토콜의 POST 메서드 연결 요청시 클라이언트PC에서 전송되는 데이터의 크기 정보인 컨텐트렝스(Content-Length)값과 실제 전송데이터 크기를 비교하여 임의의 임계치보다 작은 경우 해당 공격을 Slow HTTP DoS 공격이라고 판단하여 메인서버를 보호할 수 있는 Slow HTTP POST DoS 공격 탐지장치에 관한 것이다.
본 발명의 특징은, 메인서버(100)에 클라이언트PC가 HTTP 프로토콜을 이용한 POST 메소드로 연결되는 경우 클라이언트PC와 메인서버(100) 간의 모든 통신 패킷을 모니터링하여 Slow HTTP POST DoS 공격이라 의심되는 위험 접속정보의 목록을 확인하는 리버스프록시서버(200)를 포함하고, 메인서버(100)가 설정된 가용성임계치 이상으로 운영되면 메인서버(100)에 실시간으로 연결된 것 중에서 위험 접속정보에 해당되는 연결을 차단하고, 새롭게 메인서버(100)로 연결되는 것은 리버스프록시서버(200)에서 클라이언트PC에서 전송되는 컨텐트렝스와 실제데이터크기를 제공받고, 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 이상의 정상인 경우에만 클라이언트PC에서 전송된 정보를 메인서버(100)로 제공하여 Slow HTTP POST DoS 공격으로부터 메인서버를 보호한다.The present invention compares the content-length value, which is the size information of the data transmitted from the client PC when the client requests the HTTP protocol POST method connection to the web server, and the actual transmitted data size, and if it is less than a certain threshold, the attack It is related to a slow HTTP POST DoS attack detection device that can protect the main server by judging as a slow HTTP DoS attack.
A feature of the present invention is that, when a client PC is connected to the main server 100 by a POST method using the HTTP protocol, all communication packets between the client PC and the main server 100 are monitored to access a risk suspected to be a slow HTTP POST DoS attack. Including a reverse proxy server 200 for checking the list of information, and if the main server 100 is operated above the set availability threshold, the connection corresponding to the dangerous access information is blocked among those connected to the main server 100 in real time. , Newly connected to the main server 100 is provided with the content length and the actual data size transmitted from the client PC from the reverse proxy server 200, and compares the data size included in the content length with the actual data size, Only in case, the information transmitted from the client PC is provided to the main server 100 to protect the main server from slow HTTP POST DoS attacks.

Description

슬로우 에이치티티피 포스트 도스 공격 탐지장치{Apparatus for detecting Slow HTTP POST DoS Attack}Slow HTP post DOS attack detection device {Apparatus for detecting Slow HTTP POST DoS Attack}

본 발명은 클라이언트가 웹서버로 HTTP 프로토콜의 POST 메서드 연결 요청시 클라이언트PC에서 전송되는 데이터의 크기 정보인 컨텐트렝스(Content-Length)값과 실제 전송데이터 크기를 비교하여 임의의 임계치보다 작은 경우 해당 공격을 Slow HTTP DoS 공격이라고 판단하여 메인서버를 보호할 수 있는 Slow HTTP POST DoS 공격 탐지장치에 관한 것이다. The present invention compares the content-length value, which is the size information of the data transmitted from the client PC when the client requests the HTTP protocol POST method connection to the web server, and the actual transmitted data size, and if it is less than a certain threshold, the attack It is related to a slow HTTP POST DoS attack detection device that can protect the main server by judging as a slow HTTP DoS attack.

일반적으로, 서비스 거부(Denial of Service: DoS) 공격은 악의적인 목적을 가진 공격자가 분산 배치된 다수의 감염된 Bot(PC)을 이용하여 일시적으로 특정 사이트를 공격하여 일시적으로 서비스를 마비시키는 공격으로 특정 사이트의 가용성을 파괴하는 대표적인 사이버 공격 중 하나이다. DoS 공격은 OSI 7 layer상 응용계층(application level)에 해당하는 공격과 전송계층(transport level)에 해당하는 공격으로 나눌 수 있다.In general, a Denial of Service (DoS) attack is an attack in which an attacker with a malicious purpose temporarily attacks a specific site using a number of infected bots (PCs) distributedly and temporarily paralyzes the service. It is one of the typical cyber attacks that destroy the availability of a site. DoS attacks can be divided into attacks corresponding to the application level on the OSI 7 layer and attacks corresponding to the transport layer.

여기서, 슬로우 에이치티티피 포스트 도스(Slow HTTP POST DoS) 공격은 HTTP 프로토콜의 특징을 이용한 공격으로 다른 응용 계층을 대상으로 한 DoS 공격과 마찬가지로 정상적인 연결요청을 거쳐 진행되는 공격이기 때문에 트래픽 분석이나 헤더의 구조적인 문제점 등으로 공격을 방어하기 어렵다. Here, the Slow HTTP POST DoS attack is an attack that uses the characteristics of the HTTP protocol, and it is an attack that proceeds through a normal connection request like a DoS attack targeting other application layers. It is difficult to defend against attacks due to structural problems.

이러한 공격의 특징은 컨텐트렝스를 크게 설정한 후에 실제 전송시에는 소량의 데이터를 오랜 시간동안 아주 천천히 전송하는 것이다. 여기서, 컨텐트렝스(Content-Length)에는 전송될 데이터의 크기가 포함되어 있다. The characteristic of such an attack is that a small amount of data is transmitted very slowly for a long time in actual transmission after setting the content length large. Here, the content-length includes the size of data to be transmitted.

따라서, 서버는 컨텐트렝스를 통해 전송될 데이터의 크기를 확인한 후에 컨텐트렝스만큼의 실제데이터가 전송될 때까지 연결을 유지하게 되므로, 서버의 가용성이 떨어지게 되어 다른 정상적인 클라이언트PC의 연결을 불가능하게 만드는 문제점이 있다. Therefore, after checking the size of data to be transmitted through the content length, the server maintains the connection until the actual data corresponding to the content length is transmitted, so the availability of the server decreases, making it impossible to connect other normal client PCs. There is this.

공개특허공보 제10-2014-0088340호Unexamined Patent Publication No. 10-2014-0088340

본 발명이 해결하고자 하는 과제는, 클라이언트가 웹서버로 HTTP 프로토콜의 POST 메서드 연결 요청시 클라이언트PC에서 전송되는 데이터의 크기 정보인 컨텐트렝스(Content-Length)값과 실제 전송데이터 크기를 비교하여 임의의 임계치보다 작은 경우 해당 공격을 Slow HTTP DoS 공격이라고 판단하여 메인서버를 보호할 수 있는 Slow HTTP POST DoS 공격 탐지장치를 제공하고자 하는 것이다. The problem to be solved by the present invention is to compare the content-length value, which is the size information of the data transmitted from the client PC when the client requests the HTTP protocol POST method connection to the web server, and the actual transmitted data size. If it is smaller than the threshold, it is intended to provide a slow HTTP POST DoS attack detection device that can protect the main server by determining that the attack is a slow HTTP DoS attack.

본 발명의 일실시예에 따른 Slow HTTP POST DoS 공격 탐지장치는 메인서버(100)에 클라이언트PC가 HTTP 프로토콜을 이용한 POST 메소드로 연결되는 경우 클라이언트PC와 메인서버(100) 간의 모든 통신 패킷을 모니터링하여 Slow HTTP POST DoS 공격이라 의심되는 위험 접속정보의 목록을 확인하는 리버스프록시서버(200)를 포함하고, 메인서버(100)가 설정된 가용성임계치 이상으로 운영되면 메인서버(100)에 실시간으로 연결된 것 중에서 위험 접속정보에 해당되는 연결을 차단하고, 새롭게 메인서버(100)로 연결되는 것은 리버스프록시서버(200)에서 클라이언트PC에서 전송되는 컨텐트렝스와 실제데이터크기를 제공받고, 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 이상의 정상인 경우에만 클라이언트PC에서 전송된 정보를 메인서버(100)로 제공하여 Slow HTTP POST DoS 공격을 방어하는 것을 특징으로 한다.Slow HTTP POST DoS attack detection apparatus according to an embodiment of the present invention monitors all communication packets between the client PC and the main server 100 when the client PC is connected to the main server 100 by a POST method using the HTTP protocol. It includes a reverse proxy server 200 that checks a list of dangerous access information suspected of being a Slow HTTP POST DoS attack, and if the main server 100 is operated above a set availability threshold, among those connected in real time to the main server 100 Blocking the connection corresponding to the dangerous access information, and newly connected to the main server 100, the reverse proxy server 200 receives the content length and the actual data size transmitted from the client PC, and the data size included in the content length Compared with the actual data size and provided the information transmitted from the client PC to the main server 100 only when normal or higher than the standard, the slow HTTP POST DoS attack is prevented.

바람직하게, 리버스프록시서버(200)는 Slow HTTP POST Dos 공격으로 판단되면 메인서버에 대한 의심스러운 연결 정보들을 종료시키기 위해 사용될 시간값 설정하는 Slow HTTP POST DoS공격 타이머부(210)와; 메인서버(100)와 클라이언트PC(10) 간 연결 요청시 HTTP POST 메소드를 이용한 연결인지를 확인하는 POST 연결확인부(220)와; POST 연결확인부(220)에 의해서 POST 메소드 연결로 확인되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 모니터링하는 접속정보 모니터링부(230)와; 접속정보 모니터링부(230)에 의한 모니터링된 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 크기보다 작은 경우 해당 접속정보를 위험 접속정보로 분류하여 저장하는 위험 접속정보 분류부(240)와; 메인서버(100)에 대한 가용성임계치를 설정하는 메인서버 가용성임계치설정부(250)와; 메인서버(100)의 가용성을 확인하는 메인서버 가용성확인부(260)와; 메인서버 가용성확인부(260)를 통해 확인된 메인서버(100)의 실시간 가용성이 기 설정된 가용성임계치 이상이면 Slow HTTP POST Dos 공격으로 판단하는 Slow HTTP POST Dos 공격판단부(270)와; Slow HTTP POST Dos 공격판단부(270)에 의해서 Slow HTTP POST DoS 공격으로 판단되면 메인서버(100)에 연결된 접속정보 중 위험 접속정보 분류부(240)에 저장된 접속정보의 연결을 모두 종료시키는 위험 접속정보 차단부(280)와; Slow HTTP POST DoS공격 타이머부(210)에서 설정된 일정시간 동안 메인서버로 새로운 POST 메소드 연결이 요청되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 제공받아 임시 저장하는 신규 접속정보 확인부(290)와; 신규 접속정보 확인부(290)에 의해서 임시 저장된 컨텐트렝스에 포함된 데이터크기와 전송된 실제데이터크기를 비교하여 실제데이터크기가 기준이상이면 정상 접속으로 판단하여 임시 저장된 접속정보들을 메인서버(100)로 제공하고, 실제데이터크기가 기준보다 작은 경우 해당 접속 정보를 바로 연결 종료시키는 신규 접속정보 처리부(300);를 포함하는 것을 특징으로 한다. Preferably, the reverse proxy server 200 includes a slow HTTP POST DoS attack timer unit 210 for setting a time value to be used to terminate suspicious connection information to the main server when it is determined as a slow HTTP POST Dos attack; A POST connection checker 220 for checking whether a connection is made using an HTTP POST method when a connection request between the main server 100 and the client PC 10 is requested; A connection information monitoring unit 230 for monitoring information on corresponding IP and port 110 information, content length, and actual data size when it is confirmed as a POST method connection by the POST connection check unit 220; Dangerous access information classification unit 240 that compares the data size included in the content length monitored by the access information monitoring unit 230 with the actual data size, and if it is smaller than the reference size, classifies and stores the access information as dangerous access information Wow; A main server availability threshold setting unit 250 for setting an availability threshold for the main server 100; A main server availability check unit 260 for checking the availability of the main server 100; A Slow HTTP POST Dos attack determination unit 270 that determines as a Slow HTTP POST Dos attack if the real-time availability of the main server 100 checked through the main server availability check unit 260 is more than a preset availability threshold; If it is determined by the Slow HTTP POST Dos attack determination unit 270 as a Slow HTTP POST DoS attack, a dangerous connection that terminates all connections of the access information stored in the dangerous access information classification unit 240 among the access information connected to the main server 100 An information blocking unit 280; Slow HTTP POST When a new POST method connection is requested to the main server for a certain period of time set by the DoS attack timer unit 210, information on the corresponding IP and port 110 information, content length, and actual data size are provided and temporarily stored. A connection information checking unit 290; By comparing the data size included in the content length temporarily stored by the new access information checking unit 290 with the actual data size transmitted, if the actual data size is more than the standard, it is determined as normal access, and the temporary stored access information is stored in the main server 100 And a new access information processing unit 300 that immediately terminates the connection when the actual data size is smaller than the standard.

본 발명은 클라이언트와 웹 서버 간 HTTP POST 연결 요청시 전송되는 컨텐트렝스(Content-Length)를 실제데이터크기와 비교하여 그 값이 임계치보다 작은 경우 의심스러운 Slow HTTP POST DoS 공격이라고 판단 후 해당 연결 정보들을 저장관리하며 서버의 가용성이 설정된 임계치 이하보다 작아지는 경우 Slow HTTP POST DoS 공격이 시작되었음을 판단하고 저장관리하였던 의심스러운 연결 정보들을 강제 종료시키고 신규 의심스러운 연결정보를 일정시간동안 차단시킴으로써 메인서버를 보호할 수 있으므로, 서버의 정상적인 가용성이 확보되어 다른 정상적인 클라이언트의 연결이 가능하게 되는 이점이 있다. The present invention compares the content-length transmitted when requesting an HTTP POST connection between a client and a web server with the actual data size, and determines that it is a suspicious Slow HTTP POST DoS attack if the value is less than a threshold, and then determines the connection information. Stores and manages, and protects the main server by judging that the slow HTTP POST DoS attack has started when the server's availability is less than the set threshold, forcibly terminating the stored and managed suspicious connection information and blocking new suspicious connection information for a certain period As a result, there is an advantage that normal availability of the server is secured and other normal clients can be connected.

도 1은 본 발명의 일실시예에 따른 Slow HTTP POST DoS 공격 탐지장치에 대한 사용상태를 보인 도면.
도 2는 본 발명에 적용되는 일실시예의 리버스프록시서버를 보인 블록도. 1 is a view showing a state of use of a slow HTTP POST DoS attack detection apparatus according to an embodiment of the present invention.
Figure 2 is a block diagram showing a reverse proxy server of an embodiment applied to the present invention.

이하, 첨부된 도면을 참조하여 본 발명에 대하여 자세히 살펴본다. Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1에 도시된 바와 같이, 본 발명의 기본개념은 메인서버(100)에 클라이언트PC가 HTTP 프로토콜을 이용한 POST 메소드로 연결되는 경우 클라이언트PC와 메인서버(100) 간의 모든 통신 패킷을 모니터링하는 리버스프록시서버(200)를 포함한다. 그리고, 메인서버(100)가 설정된 가용성임계치 이상으로 운영되면 메인서버(100)에 HTTP POST 메소드로 연결된 클라이언트PC의 연결을 리버스프록시서버(200)로 우회시키고, 리버스프록시서버(200)에서 우회된 클라이언트PC에서 전송되는 컨텐트렝스와 실제데이터크기를 제공받는다. 그 후, 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 이상의 정상인 경우에만 클라이언트PC에서 전송된 정보를 메인서버(100)로 제공하게 된다. 이때, 리버스프록시서버(200)는 클라이언트PC가 HTTP POST 메소드로 메인서버(100)에 연결되면 평상시에 메인서버(100)에 연결되는 클라이언트PC의 IP, 포트정보 컨텐트렝스, 실제 전송된 데이터크기 등에 대한 정보를 모니터링하고, 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 위험 PC로 분류하여 저장하면서 관리하고, 메인서버(100)가 설정된 가용성임계치 이상이면 우선적으로 위험 PC의 연결을 차단하는 것이 바람직하다. 이러한, 컨텐트렝스는 http header에 붙는 정보이고, 컨텐트렝스에는 전송되는 데이터의 크기정보가 포함되어 있다.As shown in Figure 1, the basic concept of the present invention is a reverse proxy for monitoring all communication packets between the client PC and the main server 100 when the client PC is connected to the main server 100 by a POST method using the HTTP protocol. It includes a server 200. And, when the main server 100 is operated above the set availability threshold, the connection of the client PC connected to the main server 100 by the HTTP POST method is bypassed to the reverse proxy server 200, and the reverse proxy server 200 is bypassed. Content length and actual data size transmitted from the client PC are provided. Thereafter, the data size included in the content length is compared with the actual data size, and the information transmitted from the client PC is provided to the main server 100 only when it is normal or higher than the standard. At this time, the reverse proxy server 200, when the client PC is connected to the main server 100 by the HTTP POST method, the IP of the client PC connected to the main server 100, port information content length, actual transmitted data size, etc. It monitors the information about the information, compares the data size included in the content length with the actual data size, classifies it as a dangerous PC, stores it, and manages it, and if the main server 100 is above the set availability threshold, it first blocks the connection of the dangerous PC. It is desirable. The content length is information attached to the http header, and the content length includes size information of transmitted data.

도 2에 도시된 바와 같이, 리버스프록시서버(200)는 Slow HTTP POST DoS공격 타이머부(210), POST 연결확인부(220), 접속정보 모니터링부(230), 위험 접속정보 분류부(240), 메인서버 가용성임계치설정부(250), 메인서버 가용성확인부(260), Slow HTTP POST Dos 공격판단부(270), 위험 접속정보 차단부(280), 신규 접속정보 확인부(290), 신규 접속정보 처리부(300)를 포함한다. As shown in FIG. 2, the reverse proxy server 200 includes a Slow HTTP POST DoS attack timer unit 210, a POST connection check unit 220, a connection information monitoring unit 230, and a dangerous access information classification unit 240. , Main server availability threshold setting unit 250, main server availability check unit 260, Slow HTTP POST Dos attack determination unit 270, dangerous access information blocking unit 280, new access information checking unit 290, new It includes a connection information processing unit 300.

Slow HTTP POST DoS공격 타이머부(210)는 Slow HTTP POST Dos 공격으로 판단되면 메인서버에 대한 의심스러운 연결 정보들을 종료시키기 위해 사용될 시간값 설정한다. 이러한 Slow HTTP POST DoS공격 타이머부(210)에 의해서 설정된 시간동안 메인서버(100)로 연결되는 POST 메소드 연결을 제한하게 된다.The slow HTTP POST DoS attack timer unit 210 sets a time value to be used to terminate suspicious connection information to the main server when it is determined as a slow HTTP POST Dos attack. This slow HTTP POST DoS attack timer unit 210 limits the POST method connection to the main server 100 for a set time.

POST 연결확인부(220)는 메인서버(100)와 클라이언트PC(10) 간 연결 요청시 HTTP POST 메소드를 이용한 연결인지를 확인한다. When a connection request between the main server 100 and the client PC 10 is requested, the POST connection check unit 220 checks whether the connection is made using the HTTP POST method.

접속정보 모니터링부(230)는 POST 연결확인부(220)에 의해서 POST 메소드 연결로 확인되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 모니터링한다. 이때, 접속정보 모니터링부(230)는 POST 메소드가 아닌 연결은 메인서버(100)로 직접 포워드하고, POST 메소드 연결된 경우에만 모니터링 확인하게 된다. The access information monitoring unit 230 monitors information on the corresponding IP and port 110 information, content length, and actual data size when it is confirmed that the POST connection is connected by the POST connection check unit 220. At this time, the connection information monitoring unit 230 directly forwards the connection other than the POST method to the main server 100 and checks the monitoring only when the POST method is connected.

위험 접속정보 분류부(240)는 접속정보 모니터링부(230)에 의한 모니터링된 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 크기보다 작은 경우 해당 접속정보를 위험 접속정보로 분류하여 저장한다. 이때, 기준은 실제 전송된 데이터크기가 컨텐츠렝스에 포함된 데이터크기의 80% 등으로 설정할 수 있다. 예를 들어, 클라이언트PC(10)에서 전송되는 컨텐트렝스에 포함된 데이터크기가 1,000KB일 때, 실제로 전송된 데이터크기가 800KB보다 미만인지 확인한다. The dangerous access information classification unit 240 compares the data size included in the content length monitored by the access information monitoring unit 230 with the actual data size, and if it is smaller than the reference size, classifies and stores the access information as dangerous access information. do. In this case, the criterion may be set as the actual transmitted data size is 80% of the data size included in the content length. For example, when the data size included in the content length transmitted from the client PC 10 is 1,000 KB, it is checked whether the actually transmitted data size is less than 800 KB.

메인서버 가용성임계치설정부(250)는 메인서버(100)에 대한 가용성임계치를 설정한다. 이때, 가용성임계치는 메인서버(100)의 처리허용 용량의 80%~90% 등으로 설정할 수 있다. The main server availability threshold setting unit 250 sets an availability threshold for the main server 100. At this time, the availability threshold may be set to 80% to 90% of the allowable processing capacity of the main server 100.

메인서버 가용성확인부(260)는 메인서버(100)의 가용성을 확인한다.The main server availability check unit 260 checks the availability of the main server 100.

Slow HTTP POST Dos 공격판단부(270)는 메인서버 가용성확인부(260)를 통해 확인된 메인서버(100)의 실시간 가용성이 기 설정된 가용성임계치 이상이면 Slow HTTP POST Dos 공격으로 판단한다. 즉, 메인서버(100)에 접속되는 클라이언트PC(10)들이 처리허용 용량의 80%~90% 이상으로 연결되면 Dos 공격으로 판단한다. The slow HTTP POST Dos attack determination unit 270 determines as a Slow HTTP POST Dos attack if the real-time availability of the main server 100 checked through the main server availability check unit 260 is more than a preset availability threshold. That is, if the client PCs 10 connected to the main server 100 are connected with 80% to 90% or more of the allowable processing capacity, it is determined as a Dos attack.

위험 접속정보 차단부(280)는 Slow HTTP POST Dos 공격판단부(270)에 의해서 Slow HTTP POST DoS 공격으로 판단되면 메인서버(100)에 연결된 접속정보 중 위험 접속정보 분류부(240)에 저장된 접속정보의 연결을 모두 종료시킨다. 이에 따라 평상시에 접속정보 모니터링부(230)에 의한 모니터링 결과에 의해서 실시간으로 Slow HTTP POST Dos 공격이 의심되는 접속들을 우선으로부터 차단할 수 있게 된다.When it is determined that the slow HTTP POST DoS attack is determined by the Slow HTTP POST Dos attack determination unit 270, the dangerous access information blocking unit 280 accesses stored in the dangerous access information classification unit 240 among access information connected to the main server 100. Terminate all information connection. Accordingly, it is possible to block the connections suspected of a slow HTTP POST Dos attack in real time based on a monitoring result by the connection information monitoring unit 230 in a normal time.

신규 접속정보 확인부(290)는 Slow HTTP POST DoS공격 타이머부(210)에서 설정된 일정시간 동안 메인서버로 새로운 POST 메소드 연결이 요청되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 제공받아 임시 저장한다. When a new POST method connection is requested to the main server for a certain period of time set by the Slow HTTP POST DoS attack timer unit 210, the new access information checking unit 290 determines the corresponding IP and port 110 information, content length, and actual data size. It receives information about and stores it temporarily.

신규 접속정보 처리부(300)는 신규 접속정보 확인부(290)에 의해서 임시 저장된 컨텐트렝스에 포함된 데이터크기와 전송된 실제데이터크기를 비교하여 실제데이터크기가 기준이상이면 정상 접속으로 판단하여 임시 저장된 접속정보들을 메인서버(100)로 제공하고, 실제데이터크기가 기준보다 작은 경우 해당 접속 정보를 바로 연결 종료시킨다. 이러한 신규 접속정보 처리부(300)에 의해서 Slow HTTP POST DoS공격 이후에 새롭게 메인서버로 접속되는 POST 메소드 연결에 대한 실제데이터 크기를 확인하기 때문에 신규 접속정보에 의해서 발생되는 Slow HTTP POST Dos 공격이 의심되는 접속들도 차단할 수 있게 된다.The new access information processing unit 300 compares the data size included in the content length temporarily stored by the new access information checking unit 290 with the actual data size transmitted, and if the actual data size is greater than the standard, it is determined as normal access and temporarily stored. Access information is provided to the main server 100, and when the actual data size is smaller than the standard, the connection information is immediately terminated. Since the new connection information processing unit 300 checks the actual data size of the POST method connection newly connected to the main server after the Slow HTTP POST DoS attack, a slow HTTP POST Dos attack caused by the new connection information is suspected. Connections can also be blocked.

이와 같이, 본 발명에 의하면 메인서버(100)가 가용성임계치에 도달하기 전이 평상시에는 메인서버(100)를 공격하는 클라이언트PC(10)와 메인서버(100)를 공격하지 않는 클라이언트PC(10)의 연결된 상태가 유지될 수 있지만, 리버스프록시서버(200)의 모니터링에 의해서 Slow HTTP POST DoS 공격을 시도하는 위험 접속정보를 관리할 수 있게 된다. As described above, according to the present invention, before the main server 100 reaches the availability threshold, the client PC 10 attacking the main server 100 and the client PC 10 not attacking the main server 100 Although the connected state may be maintained, it is possible to manage dangerous access information attempting a slow HTTP POST DoS attack by monitoring of the reverse proxy server 200.

이러한 상태에서, 많은 수의 클라이언트PC(10)들이 Slow HTTP POST DoS 공격을 시도하여 메인서버(100)가 가용성임계치에 도달하면 실시간으로 메인서버(100)에 연결된 것 중에서 위험 접속정보로 등록된 클라이언트PC의 연결을 차단하게 된다. 그리고, 새롭게 메인서버로 연결되더라도 리버스프록시서버(200)에서 클라이언트PC에서 전송되는 컨텐트렝스 및 실제데이터크기를 확인하고 기준 미만이면 Slow HTTP POST DoS 공격으로 판단하여 2차적으로 차단하고, 기준 이상의 정상인 경우에만 해당 데이터를 메인서버(100)로 제공하여 안전하게 Slow HTTP POST DoS 공격으로부터 메인서버를 보호할 수 있게 된다. In this state, when a large number of client PCs 10 attempt a slow HTTP POST DoS attack and the main server 100 reaches the availability threshold, a client registered as dangerous access information among those connected to the main server 100 in real time. It will cut off the connection to the PC. And, even if it is newly connected to the main server, the reverse proxy server 200 checks the content length and the actual data size transmitted from the client PC, and if it is less than the standard, it is determined as a slow HTTP POST DoS attack, and is secondarily blocked, and if the standard is normal or higher. It is possible to safely protect the main server from Slow HTTP POST DoS attacks by providing the corresponding data to the main server 100 only.

이와 같이, 본 발명은 클라이언트PC에서 전송되는 컨텐트렝스에 포함된 데이터크기와 실제데이터크기에 비교하여 서비스 거부 공격이라 불리는 Slow HTTP POST DoS 공격으로부터 메인서버를 보호할 수 있으므로, 슬로우 에이치티티피 포스트 도스 공격 탐지장치에 적용되어 널리 사용될 수 있는 매우 유용한 발명이라 할 수 있다. As described above, the present invention can protect the main server from a slow HTTP POST DoS attack called a denial of service attack by comparing the data size and the actual data size included in the content length transmitted from the client PC, so the slow HTP post DOS It can be said to be a very useful invention that can be widely used by being applied to an attack detection device.

본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의의 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.Those skilled in the art to which the present invention pertains will appreciate that the present invention can be implemented in other specific forms without changing the technical spirit or essential features thereof. Therefore, the embodiments described above are to be understood as illustrative and not limiting in all respects, and the scope of the present invention is indicated by the claims to be described later rather than the detailed description, and the meaning and scope of the claims, and the All changes or modifications derived from the equivalent concept should be interpreted as being included in the scope of the present invention.

10 : 클라이언트PC
100 : 메인서버
200 : 리버스프록시서버
210 : Slow HTTP POST DoS공격 타이머부
220 : POST 연결확인부
230 : 접속정보 모니터링부
240 : 위험 접속정보 분류부
250 : 메인서버 가용성임계치설정부
260 : 메인서버 가용성확인부
270 : Slow HTTP POST Dos 공격판단부
280 : 위험 접속정보 차단부
290 : 신규 접속정보 확인부
300 : 신규 접속정보 처리부10: Client PC
100: main server
200: reverse proxy server
210: Slow HTTP POST DoS attack timer unit
220: POST connection check
230: access information monitoring unit
240: dangerous access information classification unit
250: Main server availability threshold setting unit
260: Main server availability check unit
270: Slow HTTP POST Dos attack judgment unit
280: dangerous access information blocking unit
290: New access information confirmation unit
300: new access information processing unit

Claims (3)

메인서버(100)에 클라이언트PC가 HTTP 프로토콜을 이용한 POST 메소드로 연결되는 경우 클라이언트PC와 메인서버(100) 간의 모든 통신 패킷을 모니터링하여 Slow HTTP POST DoS 공격이라 의심되는 위험 접속정보의 목록을 확인하는 리버스프록시서버(200)를 포함하고,
메인서버(100)가 설정된 가용성임계치 이상으로 운영되면 메인서버(100)에 실시간으로 연결된 것 중에서 위험 접속정보에 해당되는 연결을 차단하고, 새롭게 메인서버(100)로 연결되는 것은 리버스프록시서버(200)에서 클라이언트PC에서 전송되는 컨텐트렝스와 실제데이터크기를 제공받고, 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 이상의 정상인 경우에만 클라이언트PC에서 전송된 정보를 메인서버(100)로 제공하여 Slow HTTP POST DoS 공격으로부터 메인서버를 보호하며,
리버스프록시서버(200)는
Slow HTTP POST Dos 공격으로 판단되면 메인서버에 대한 의심스러운 연결 정보들을 종료시키기 위해 사용될 시간값 설정하는 Slow HTTP POST DoS공격 타이머부(210)와;
메인서버(100)와 클라이언트PC(10) 간 연결 요청시 HTTP POST 메소드를 이용한 연결인지를 확인하는 POST 연결확인부(220)와;
POST 연결확인부(220)에 의해서 POST 메소드 연결로 확인되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 모니터링하는 접속정보 모니터링부(230)와;
접속정보 모니터링부(230)에 의한 모니터링된 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 크기보다 작은 경우 해당 접속정보를 위험 접속정보로 분류하여 저장하는 위험 접속정보 분류부(240)와;
메인서버(100)에 대한 가용성임계치를 설정하는 메인서버 가용성임계치설정부(250)와;
메인서버(100)의 가용성을 확인하는 메인서버 가용성확인부(260)와;
메인서버 가용성확인부(260)를 통해 확인된 메인서버(100)의 실시간 가용성이 기 설정된 가용성임계치 이상이면 Slow HTTP POST Dos 공격으로 판단하는 Slow HTTP POST Dos 공격판단부(270)와;
Slow HTTP POST Dos 공격판단부(270)에 의해서 Slow HTTP POST DoS 공격으로 판단되면 메인서버(100)에 연결된 접속정보 중 위험 접속정보 분류부(240)에 저장된 접속정보의 연결을 모두 종료시키는 위험 접속정보 차단부(280)와;
Slow HTTP POST DoS공격 타이머부(210)에서 설정된 일정시간 동안 메인서버로 새로운 POST 메소드 연결이 요청되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 제공받아 임시 저장하는 신규 접속정보 확인부(290)와;
신규 접속정보 확인부(290)에 의해서 임시 저장된 컨텐트렝스에 포함된 데이터크기와 전송된 실제데이터크기를 비교하여 실제데이터크기가 기준이상이면 정상 접속으로 판단하여 임시 저장된 접속정보들을 메인서버(100)로 제공하고, 실제데이터크기가 기준보다 작은 경우 해당 접속 정보를 바로 연결 종료시키는 신규 접속정보 처리부(300);를 포함하고,
속정보 모니터링부(230)는 POST 메소드가 아닌 연결은 메인서버(100)로 직접 포워드하고, POST 메소드 연결된 경우에만 모니터링 확인하며,
Slow HTTP POST DoS공격 타이머부(210)는 Slow HTTP POST Dos 공격으로 판단되면 메인서버에 대한 의심스러운 연결 정보들을 종료시키기 위해 사용될 시간값을 설정하여, 설정된 시간동안 메인서버(100)로 연결되는 POST 메소드 연결이 제한될 수 있고,
위험 접속정보 분류부(240)에서 기준은 실제 전송된 데이터크기가 컨텐츠렝스에 포함된 데이터크기의 80%로 설정할 수 있는 것을 특징으로 하는 Slow HTTP POST DoS 공격 탐지장치.
When the client PC is connected to the main server 100 by the POST method using the HTTP protocol, all communication packets between the client PC and the main server 100 are monitored to check the list of dangerous access information suspected of being a Slow HTTP POST DoS attack. Including a reverse proxy server 200,
When the main server 100 is operated above the set availability threshold, the connection corresponding to the dangerous access information among those connected to the main server 100 in real time is blocked, and the newly connected to the main server 100 is a reverse proxy server 200 ), the content length transmitted from the client PC and the actual data size are provided, and the information transmitted from the client PC is provided to the main server 100 only when the data size included in the content length and the actual data size are compared to the standard or higher. To protect the main server from Slow HTTP POST DoS attacks,
The reverse proxy server 200
A slow HTTP POST DoS attack timer unit 210 for setting a time value to be used to terminate suspicious connection information to the main server when it is determined as a slow HTTP POST Dos attack;
A POST connection checker 220 for checking whether a connection is made using an HTTP POST method when a connection request between the main server 100 and the client PC 10 is requested;
A connection information monitoring unit 230 for monitoring information on corresponding IP and port 110 information, content length, and actual data size when it is confirmed as a POST method connection by the POST connection check unit 220;
Dangerous access information classification unit 240 that compares the data size included in the content length monitored by the access information monitoring unit 230 with the actual data size, and if it is smaller than the reference size, classifies and stores the access information as dangerous access information Wow;
A main server availability threshold setting unit 250 for setting an availability threshold for the main server 100;
A main server availability check unit 260 for checking the availability of the main server 100;
A Slow HTTP POST Dos attack determination unit 270 that determines as a Slow HTTP POST Dos attack if the real-time availability of the main server 100 checked through the main server availability check unit 260 is more than a preset availability threshold;
A dangerous connection that terminates all connections of the connection information stored in the dangerous connection information classification unit 240 among the connection information connected to the main server 100 when it is determined as a slow HTTP POST DoS attack by the slow HTTP POST Dos attack determination unit 270 An information blocking unit 280;
Slow HTTP POST When a new POST method connection is requested to the main server for a certain period of time set by the DoS attack timer unit 210, information on the corresponding IP and port 110 information, content length, and actual data size are provided and temporarily stored. A connection information checking unit 290;
By comparing the data size included in the content length temporarily stored by the new access information checking unit 290 with the actual data size transmitted, if the actual data size is more than the standard, it is determined as normal access, and the temporary stored access information is stored in the main server 100 And a new access information processing unit 300 that immediately terminates the connection when the actual data size is smaller than the standard, and
The quick information monitoring unit 230 directly forwards the connection other than the POST method to the main server 100, and checks monitoring only when the POST method is connected,
The Slow HTTP POST DoS attack timer unit 210 sets a time value to be used to terminate suspicious connection information to the main server when it is determined as a Slow HTTP POST Dos attack, and the POST is connected to the main server 100 for a set time. Method connection can be limited,
In the dangerous access information classification unit 240, the standard is a slow HTTP POST DoS attack detection device, characterized in that the actual transmitted data size can be set to 80% of the data size included in the content length.
삭제delete 삭제delete
KR1020180083631A 2018-07-18 2018-07-18 Apparatus for detecting Slow HTTP POST DoS Attack KR102152395B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180083631A KR102152395B1 (en) 2018-07-18 2018-07-18 Apparatus for detecting Slow HTTP POST DoS Attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180083631A KR102152395B1 (en) 2018-07-18 2018-07-18 Apparatus for detecting Slow HTTP POST DoS Attack

Publications (2)

Publication Number Publication Date
KR20200009366A KR20200009366A (en) 2020-01-30
KR102152395B1 true KR102152395B1 (en) 2020-09-04

Family

ID=69321547

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180083631A KR102152395B1 (en) 2018-07-18 2018-07-18 Apparatus for detecting Slow HTTP POST DoS Attack

Country Status (1)

Country Link
KR (1) KR102152395B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111311912B (en) * 2020-02-25 2021-08-24 北京天融信网络安全技术有限公司 Internet of vehicles detection data determination method and device and electronic equipment

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120067580A (en) * 2010-12-16 2012-06-26 한국인터넷진흥원 Method and apparatus for detecting and filtering ddos attack based on working time
KR20130017333A (en) * 2011-08-10 2013-02-20 한국전자통신연구원 Attack decision system of slow distributed denial of service based application layer and method of the same
KR20140088340A (en) 2013-01-02 2014-07-10 한국전자통신연구원 APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH

Also Published As

Publication number Publication date
KR20200009366A (en) 2020-01-30

Similar Documents

Publication Publication Date Title
TWI294726B (en)
CA2968201C (en) Systems and methods for malicious code detection
KR101424490B1 (en) Reverse access detecting system and method based on latency
US7225468B2 (en) Methods and apparatus for computer network security using intrusion detection and prevention
JP2004507978A (en) System and method for countering denial of service attacks on network nodes
US20160344765A1 (en) Unobtrusive and Dynamic DDoS Mitigation
US7363513B2 (en) Server denial of service shield
KR20140122044A (en) Apparatus and method for detecting slow read dos
CN115065564B (en) Access control method based on zero trust mechanism
KR101281160B1 (en) Intrusion Prevention System using extract of HTTP request information and Method URL cutoff using the same
CN114448706B (en) Single package authorization method and device, electronic equipment and storage medium
TWM542807U (en) Network information security inspection system
KR102152395B1 (en) Apparatus for detecting Slow HTTP POST DoS Attack
CN110830444A (en) Method and device for single-packet enhanced security verification
KR20110059963A (en) Apparatus and method for blocking harmful traffic and system for blocking harmful traffic using the same
JP2005134972A (en) Firewall device
KR101420301B1 (en) Method and apparatus for detecting ddos attack
KR101048000B1 (en) DDoS Attack Detection and Defense
TWI711939B (en) Systems and methods for malicious code detection
KR101449627B1 (en) Method and apparatus for detecting abnormal session
KR100728446B1 (en) Hardware based intruding protection device, system and method
TWI640894B (en) Method of detecting internet information security and its implemented system
US11451584B2 (en) Detecting a remote exploitation attack
KR102621652B1 (en) Server computer equipped with DRDoS attack response method, DRDoS attack response program and DRDoS attack response method
US8819252B1 (en) Transaction rate limiting

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant