KR102193588B1 - Method and system for protecting DDoS attack - Google Patents

Method and system for protecting DDoS attack Download PDF

Info

Publication number
KR102193588B1
KR102193588B1 KR1020140058969A KR20140058969A KR102193588B1 KR 102193588 B1 KR102193588 B1 KR 102193588B1 KR 1020140058969 A KR1020140058969 A KR 1020140058969A KR 20140058969 A KR20140058969 A KR 20140058969A KR 102193588 B1 KR102193588 B1 KR 102193588B1
Authority
KR
South Korea
Prior art keywords
address
communication terminal
ddos
terminal device
attack
Prior art date
Application number
KR1020140058969A
Other languages
Korean (ko)
Other versions
KR20150132746A (en
Inventor
허근형
김태균
방재혁
배준환
임호문
서경덕
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020140058969A priority Critical patent/KR102193588B1/en
Publication of KR20150132746A publication Critical patent/KR20150132746A/en
Application granted granted Critical
Publication of KR102193588B1 publication Critical patent/KR102193588B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

본 발명은 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법 및 이를 위한 DDoS 공격 차단 시스템으로서, 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격을 DDoS 탐지 장치가 탐지시, 고객 단말 원격 제어장치가 공격 대상 IP 주소가 할당된 통신 단말 장치에 신규 IP 주소를 재할당 받도록 제어하는 IP 재할당 제어 단계; 상기 DDoS 탐지 장치가 상기 통신 단말 장치로부터의 IP 재할당 요청에 따른 DHCP 서버의 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당을 확인하는 IP 재할당 확인 단계; 및 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 DDoS 차단 장치가 상기 공격 대상 IP 주소를 차단하는 공격 대상 IP 차단 단계를 포함하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법과 이를 구현하기 위한 DDoS 차단 시스템이며, 이와 같은 본 발명에 의하면 고객의 통신 단말 장치로 할당된 동적 IP 주소에 대한 DDoS 공격 탐지시에 공격 대상 IP 주소를 실시간 회수하고 상기 통신 단말 장치를 제어하여 신규 IP 주소를 재할당함으로써 상기 통신 단말 장치에 대한 인터넷 통신의 연결이 끊김 없이 유지되면서 DDoS 공격에 따른 패킷 전송을 차단하여 ISP(Internet Service Provider) 네트워크의 피해를 방지할 수 있다.The present invention is a DDoS attack blocking method through remote control of a customer's communication terminal and a DDoS attack blocking system therefor. When a DDoS detection device detects a DDoS attack on a dynamic IP address assigned to a communication terminal device, a remote control device for a customer terminal An IP reassignment control step of controlling to reassign a new IP address to a communication terminal device to which an attack target IP address is assigned; An IP reassignment check step of the DDoS detection device confirming reassignment of a new IP address to the communication terminal device by a DHCP server according to an IP reassignment request from the communication terminal device; And an attack target IP blocking step of blocking the attack target IP address by a DDoS blocking device according to the reallocation of a new IP address to the communication terminal device, characterized in that it blocks DDoS attacks through remote control of the customer's communication terminal. It is a method and a DDoS blocking system for implementing the same, and according to the present invention, when a DDoS attack is detected for a dynamic IP address assigned to a customer's communication terminal device, the attack target IP address is retrieved in real time and the communication terminal device is controlled. By reassigning a new IP address, the Internet communication connection to the communication terminal device is maintained seamlessly, and packet transmission due to a DDoS attack is blocked, thereby preventing damage to the Internet Service Provider (ISP) network.

Figure R1020140058969
Figure R1020140058969

Description

고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법 및 이를 위한 DDoS 공격 차단 시스템 {Method and system for protecting DDoS attack}Method and system for protecting DDoS attack method for blocking DDOS attack through remote control of customer's communication terminal {Method and system for protecting DDoS attack}

본 발명은 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법 및 이를 위한 DDoS 공격 차단 시스템에 대한 것으로서, 보다 상세하게는 고객의 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격 탐지시에 상기 통신 단말 장치가 신규 IP 주소를 재할당 받도록 제어하고 공격 대상 IP 주소로 전송되는 패킷들은 우회시켜 차단하는 것을 특징으로 하는 DDoS 공격 차단 방법과 이를 구현하는 DDoS 공격 차단 시스템에 관한 것이다.
The present invention relates to a DDoS attack blocking method through remote control of a customer's communication terminal and a DDoS attack blocking system therefor, and more particularly, the communication when detecting a DDoS attack against a dynamic IP address assigned to a customer's communication terminal device. The present invention relates to a DDoS attack blocking method and a DDoS attack blocking system implementing the same, which controls a terminal device to receive reassignment of a new IP address and bypasses and blocks packets transmitted to an attack target IP address.

분산서비스거부 공격(DDoS: Distributed Denial of Service)은 공격자가 여러 시스템을 해킹하여 공격 코드를 심어놓은 후, 원격으로 제어하여 일제히 대상 타겟(victim)를 공격하는 형태이다.Distributed Denial of Service (DDoS) is a form in which an attacker hacks several systems, injects an attack code, and then remotely controls it to attack a target target at once.

도 1은 DDoS 공격의 개념도를 도시하는데, DDoS 공격은 다수의 공격 발신지점에서 수행하며 공격방식은 공격자가 여러 공격대행자를 두고 자신은 공격대행자 뒤에서 공격에 대한 최초 신호만 전송한다. 이때 각각의 공격대행자들은 여러 취약한 시스템을 해킹하거나 도용하여 공격의 실체가 되는 공격 데몬 프로그램을 설치하므로 공격 데몬은 물리적으로 분리된 시스템에 위치하게 된다.FIG. 1 shows a conceptual diagram of a DDoS attack. The DDoS attack is performed at a number of attack originating points. In the attack method, the attacker has several attacking agents, and the attacker transmits only the initial signal for the attack from behind the attacking agent. At this time, each attack agent installs an attack daemon program that becomes the entity of an attack by hacking or stealing several vulnerable systems, so the attack daemon is located in a physically separate system.

즉, DDoS 공격은 공격자가 최상위에 위치하고, 그 하위에 다수의 공격 대행자가 위치되며, 다시 그 하위에 다수의 공격 데몬이 위치하는 계층구조로 구성되며, 데몬이 설치된 시스템에서 실제 DDoS 공격이 감행된다.In other words, DDoS attacks consist of a hierarchical structure in which the attacker is located at the top, a number of attack agents are located below it, and a number of attack daemons are located below it, and the actual DDoS attack is executed in the system where the daemon is installed. .

이러한 DDoS 공격은 지속시간이 수분에서 수십분이며 많아야 1시간을 넘지 않고 공격이 종료되지만, 짧은 시간에 다량의 유해 트래픽을 특정 공격 대상 IP 주소에 집중시킴으로써 타겟을 마비시키는 강력한 파괴력을 가지며, 나아가서 네트워크 전체의 자원을 고갈시키는 한편 네트워크에 심각한 부하를 주어 해당 네트워크를 마비시키기도 한다. Such a DDoS attack lasts from minutes to tens of minutes, and the attack ends without exceeding 1 hour at most, but it has a strong destructive power to paralyze the target by concentrating a large amount of harmful traffic to a specific attack target IP address in a short time. While depleting the resources of the network, it puts a serious load on the network and paralyzes the network.

이와 같은 DDoS 공격을 차단하는 안정적인 방안은 DDoS 공격에 따른 유해 트래픽 자체를 차단하는 방식으로서, 블랙홀 라우팅(Triggered Blackhole Routing)이나 싱크홀 라우팅(Sinkhole Routing) 등이 제시된 바 있다.A stable method for blocking such a DDoS attack is a method of blocking harmful traffic itself due to a DDoS attack. Triggered Blackhole Routing or Sinkhole Routing has been proposed.

블랙홀 라우팅은 라우터에서 특정 목적지 IP 주소로 전송되는 모든 트래픽을 차단한 후 일종의 폐기장소로 보내 소멸시키는 방법이며, 싱크홀 라우팅은 블랙홀 라우팅과 유사하게 유해 트래픽과 관련된 패킷들을 특정 네트워크로 우회하여 트래픽을 분석하는 방법으로서, 현재 대부분의 통신사들은 DNS 서버에 싱크홀을 적용하여 운영중에 있다. 도 2는 싱크홀 라우팅 방식으로 DDoS 공격을 차단하는 구성을 도시하는데, 공격자(10)가 다수의 좀비 PC들(15)을 통해 특정 고객 통신 단말 장치(50)에 할당된 동적 IP 주소를 타켓으로 공격을 시도하는 경우에 유해 트래픽과 관련된 패킷들을 싱크홀(70)로 우회시켜 공격을 차단할 수 있다.Black hole routing is a method of blocking all traffic transmitted from a router to a specific destination IP address and sending it to a kind of discarded place, and sinkhole routing, similar to black hole routing, bypasses packets related to harmful traffic to a specific network. As a method of analysis, most of the current carriers are operating by applying sinkholes to DNS servers. 2 shows a configuration for blocking a DDoS attack by using a sinkhole routing method, where an attacker 10 uses a dynamic IP address assigned to a specific customer communication terminal device 50 through a plurality of zombie PCs 15 as a target. When an attack is attempted, packets related to harmful traffic are bypassed to the sink hole 70 to block the attack.

그러나 이와 같은 방식은 공격 대몬인 좀비 PC들(15)이 발송하는 비정상적인 공격성 패킷과 일반 고객(20)이 발송하는 정상적인 서비스 요청 패킷을 정확히 구분하는 것이 용이하지 않기 때문에 DDoS 공격에 따른 패킷만을 탐지하는 것 자체가 어려워 DDoS 공격에 따른 유해 트래픽뿐만 아니라 일반 고객(20)이 발송하는 정상적인 패킷까지도 싱크홀(70)로 우회시켜 차단한다는 문제점이 있으며, 이로 인해 고객의 통신 단말 장치(50) 자체가 불통되는 경우가 발생된다.However, since it is not easy to accurately distinguish between abnormal attack packets sent by zombie PCs 15, which are attack daemons, and normal service request packets sent by general customers 20, only packets according to DDoS attacks are detected. Since it is difficult to do so, there is a problem in that not only harmful traffic caused by DDoS attacks but also normal packets sent by general customers 20 are bypassed to the sinkhole 70 and blocked, and due to this, the customer's communication terminal device 50 itself is extinguished. There is a case of becoming.

나아가서 동적 IP 주소를 할당하는 DHCP 서버가 랜덤하게 동적 IP를 생성하지만 일반적으로 동일한 통신 단말 장치에 대해서는 가장 최근에 할당하였던 동적 IP 주소를 다시 할당하는 경향이 있으므로 상기와 같은 블랙홀 라우팅 방식이나 싱크홀 라우팅 방식으로 DDoS 공격을 차단함에 따라 통신 단말 장치가 불통되어 다시 재부팅을 시도하여도 DHCP 서버는 다시 최근에 할당하였던 동일한 동적 IP 주소를 할당함으로써 통신 단말 장치의 불통이 지속되게 된다. 또한 DHCP 서버가 일정한 주기로 새로운 동적 IP 주소를 할당하는 방식이 제시되었으나, 네트워크 환경을 고려하여 IP 주소를 수시로 변경할 수 없기에 30분에서 1시간 정도의 시간 간격으로 IP 주소를 변경함에 따라서 DDoS 공격으로 마비된 고객의 통신 단말 장치는 다음의 IP 주소 변경 주기동안은 네트워크 접속이 이루어지지 않는 불편함이 있다.
Furthermore, the DHCP server that allocates a dynamic IP address randomly generates a dynamic IP, but in general, there is a tendency to re-allocate the most recently allocated dynamic IP address for the same communication terminal device. As the DDoS attack is blocked by the method, even if the communication terminal device is turned off and rebooting is attempted again, the DHCP server allocates the same dynamic IP address that was recently allocated, so that the communication terminal device continues to fail. In addition, a method in which the DHCP server allocates new dynamic IP addresses at regular intervals has been proposed, but it is paralyzed by DDoS attacks by changing the IP address at intervals of 30 minutes to 1 hour because the IP address cannot be changed at any time considering the network environment. The communication terminal device of the customer is inconvenient that the network connection is not made during the next IP address change period.

본 발명은 상술한 바와 같은 종래 기술의 문제점을 해결하고자 하는 것으로서, 고객의 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격 발생시 블랙홀 라우팅이나 싱크홀 라우팅 방식으로 DDoS 공격을 차단함에 따라 유해 트래픽에 따른 패킷뿐만 아니라 정상적인 패킷까지도 차단시킴으로써 고객의 통신 단말 장치가 마비되는 문제점을 해결하고자 한다.The present invention is to solve the problems of the prior art as described above, and when a DDoS attack against a dynamic IP address assigned to a customer's communication terminal device occurs, a DDoS attack is blocked by a black hole routing or a sinkhole routing method, thereby preventing harmful traffic. It is intended to solve the problem that the communication terminal device of the customer is paralyzed by blocking not only the corresponding packet but also the normal packet.

나아가서 DHCP 서버가 일반적으로 동일한 통신 단말 장치에 대해서는 동일한 동적 IP 주소를 다시 할당하는 경향을 가짐에 따라 DDoS 공격으로 마비된 통신 단말 장치를 재부팅을 시도하여도 DHCP 서버가 다시 동일한 동적 IP 주소를 할당함으로써 통신 단말 장치의 불통이 지속되는 문제점을 해결하고자 한다. Furthermore, as the DHCP server generally has a tendency to reassign the same dynamic IP address to the same communication terminal device, the DHCP server allocates the same dynamic IP address again even if a communication terminal device paralyzed by a DDoS attack attempts to reboot. An attempt is made to solve the problem that the communication terminal device continues to fail.

또한 DHCP 서버가 일정한 주기로 새로운 동적 IP 주소를 할당하는 방식의 경우에 네트워크 환경을 고려하여 IP 주소를 수시로 변경할 수 없기에 일정 주기 시간 간격으로 IP 주소를 변경함에 따라서 DDoS 공격으로 마비된 고객의 통신 단말 장치가 다음번 IP 주소 변경이 이루어지기 전까지는 네트워크 접속이 이루어지지 않는 불편함을 해소하고자 한다.
In addition, in the case of the DHCP server allocating new dynamic IP addresses at regular intervals, the IP address cannot be changed at any time considering the network environment. Therefore, the communication terminal device of the customer paralyzed by DDoS attacks by changing the IP address at regular time intervals. This is to solve the inconvenience of not being able to access the network until the next IP address change is made.

상기 기술적 과제를 달성하고자 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법은, 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격을 DDoS 탐지 장치가 탐지시, 고객 단말 원격 제어장치가 공격 대상 IP 주소가 할당된 통신 단말 장치에 신규 IP 주소를 재할당 받도록 제어하는 IP 재할당 제어 단계; 상기 DDoS 탐지 장치가 상기 통신 단말 장치로부터의 IP 재할당 요청에 따른 DHCP 서버의 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당을 확인하는 IP 재할당 확인 단계; 및 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 DDoS 차단 장치가 상기 공격 대상 IP 주소로 전송되는 패킷을 차단하는 공격 대상 IP 차단 단계를 포함할 수 있다.In order to achieve the above technical problem, the DDoS attack blocking method through the remote control of the customer's communication terminal according to the present invention is, when the DDoS detection device detects a DDoS attack on the dynamic IP address assigned to the communication terminal device, the remote control device of the customer terminal An IP reassignment control step of controlling to reassign a new IP address to a communication terminal device to which an attack target IP address is assigned; An IP reassignment check step of the DDoS detection device confirming reassignment of a new IP address to the communication terminal device by a DHCP server according to an IP reassignment request from the communication terminal device; And an attack target IP blocking step of blocking, by the DDoS blocking device, a packet transmitted to the attack target IP address according to reallocation of a new IP address to the communication terminal device.

바람직하게는 상기 IP 재할당 제어 단계는, 상기 DDoS 탐지 장치가 DDoS 공격 탐지에 따른 공격 대상 IP 주소를 확인하는 단계; 상기 DDoS 탐지 장치가 상기 DHCP 서버의 IP 주소 풀(Pool)에서 상기 공격 대상 IP 주소를 제외시키도록 제어하고 이를 확인하는 단계; 및 상기 고객 단말 원격 제어장치가 상기 통신 단말 장치에 대하여 재부팅하도록 고객 통신 단말 제어 신호를 생성하여 전송하는 단계를 포함할 수 있다.Preferably, the controlling of the IP reassignment comprises: checking, by the DDoS detection device, an attack target IP address according to DDoS attack detection; Controlling the DDoS detection device to exclude the target IP address from the IP address pool of the DHCP server and confirming it; And generating and transmitting a control signal for the customer communication terminal so that the remote control device for the customer terminal may reboot the communication terminal device.

그리고 상기 IP 재할당 확인 단계는, 상기 통신 단말 장치가 리부팅되고 IP 주소의 재할당을 상기 DHCP 서버에 요청하여 신규 IP 주소가 재할당되는 단계; 및 상기 DDoS 탐지 장치가 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당을 상기 DHCP 서버를 통해 확인하는 단계를 포함할 수 있다.The step of confirming the IP reassignment may include: rebooting the communication terminal device and requesting reassignment of an IP address from the DHCP server to reassign a new IP address; And confirming, by the DDoS detection device, reassignment of a new IP address to the communication terminal device through the DHCP server.

또한 상기 공격 대상 IP 차단 단계는, 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 상기 DDoS 탐지 장치가 상기 공격 대상 IP 주소를 상기 DDoS 차단 장치로 전송하는 단계; 및 상기 DDoS 차단 장치가 상기 공격 대상 IP 주소로 전송되는 패킷을 차단하는 단계를 포함할 수 있다.In addition, the attack target IP blocking step may include: transmitting, by the DDoS detection device, the attack target IP address to the DDoS blocking device according to reassignment of a new IP address to the communication terminal device; And blocking, by the DDoS blocking device, a packet transmitted to the attack target IP address.

나아가서 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법은, 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격의 탐지에 따라 DDoS 탐지 장치로부터 DHCP 서버가 공격 대상 IP 주소를 전달받는 단계; 상기 DHCP 서버가 IP 주소 풀(Pool)에서 공격 대상 IP 주소를 제외시키는 단계; 상기 DHCP 서버가 상기 통신 단말 장치로부터 신규 IP 주소의 재할당을 요청받는 단계; 및 상기 DHCP 서버가 상기 통신 단말 장치로 신규 IP 주소를 재할당하고 상기 통신 단말 장치에 대한 신규 IP 주소 재할당 완료 신호를 상기 DDoS 탐지 장치로 전송하는 단계를 포함할 수 있다.Furthermore, the method for blocking DDoS attacks through remote control of a customer's communication terminal according to the present invention includes a DHCP server receiving an attack target IP address from a DDoS detection device according to detection of a DDoS attack on a dynamic IP address assigned to a communication terminal device. step; Excluding, by the DHCP server, an attack target IP address from an IP address pool; Receiving, by the DHCP server, a request for reassignment of a new IP address from the communication terminal device; And reassigning, by the DHCP server, a new IP address to the communication terminal device, and transmitting a new IP address reassignment completion signal for the communication terminal device to the DDoS detection device.

한 걸음 더 나아가서 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법은, 통신 단말 장치의 할당된 동적 IP 주소에 대한 DDoS 공격 탐지에 따라, 상기 통신 단말 장치가 고객 단말 원격 제어장치로부터 IP 주소 재할당에 대한 고객 통신 단말 제어 신호를 전송받는 단계; 상기 통신 단말 장치가 상기 고객 통신 단말 제어 신호를 기초로 재부팅을 수행하고 DHCP 서버로 신규 IP 주소의 재할당을 요청하는 단계; 및 상기 통신 단말 장치가 상기 DHCP 서버로부터 신규 IP 주소를 할당받고, 상기 신규 IP 주소를 통해 연결되는 단계를 포함할 수 있다.Further, the DDoS attack blocking method through the remote control of the customer's communication terminal according to the present invention, in accordance with the detection of a DDoS attack against the assigned dynamic IP address of the communication terminal device, the communication terminal device from the remote control device of the customer terminal. Receiving a control signal from a customer communication terminal for IP address reallocation; Performing, by the communication terminal device, rebooting based on the customer communication terminal control signal and requesting reassignment of a new IP address to a DHCP server; And receiving, by the communication terminal device, a new IP address from the DHCP server, and connecting through the new IP address.

또한 상기 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법을 구현하기 위한 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템은, 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격 탐지시, 공격 대상 IP 주소가 할당된 통신 단말 장치를 제어하여 신규 IP 주소를 재할당 받도록 하고, 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 상기 공격 대상 IP 주소로 전송되는 패킷을 차단하는 것을 특징으로 한다.In addition, the DDoS attack blocking system through the remote control of the customer's communication terminal according to the present invention for implementing the DDoS attack blocking method through the remote control of the customer's communication terminal, detects a DDoS attack on a dynamic IP address assigned to the communication terminal device. In this case, the communication terminal device to which the attack target IP address is assigned is controlled so that a new IP address is reassigned, and packets transmitted to the attack target IP address are blocked according to the reallocation of a new IP address to the communication terminal device. It features.

바람직하게는 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격을 탐지하는 DDoS 탐지 장치; DDoS 공격 탐지에 따라 공격 대상 IP 주소가 할당된 통신 단말 장치가 DHCP 서버로부터 신규 IP 주소를 재할당받도록 제어하는 고객 단말 원격 제어 장치; 및 상기 통신 단말 장치에 대한 신규 IP 주소 재할당에 따라 상기 공객 대상 IP 주소로 전송되는 패킷을 차단하는 DDoS 차단 장치를 포함할 수 있다.Preferably, a DDoS detection device for detecting a DDoS attack on a dynamic IP address allocated to a communication terminal device; A remote control device for a customer terminal for controlling a communication terminal device to which an attack target IP address is assigned according to a DDoS attack detection to receive a new IP address reassignment from a DHCP server; And a DDoS blocking device that blocks packets transmitted to the target IP address according to the reallocation of a new IP address to the communication terminal device.

나아가서 상기 DDoS 탐지 장치는, 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격을 탐지하고, 공격 대상 IP 주소를 확인하여 상기 고객 단말 원격 제어 장치에 제공하는 DDoS 탐지부; DHCP 서버와 연동하여 상기 DHCP 서버의 IP 주소 풀(Pool)에서 공격 대상 IP 주소를 제외시키고, 상기 통신 단말 장치에 대한 상기 DHCP 서버의 신규 IP 주소의 재할당을 확인하는 DHCP 연동부; 및 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 상기 공격 대상 IP 주소를 상기 DDoS 차단 장치로 전송하는 공격 차단 제어부를 포함할 수도 있다.
Further, the DDoS detection device may include a DDoS detection unit that detects a DDoS attack on a dynamic IP address assigned to a communication terminal device, identifies an attack target IP address, and provides it to the remote control device of the customer terminal; A DHCP interworking unit interworking with a DHCP server to exclude an attack target IP address from the IP address pool of the DHCP server, and to check reassignment of a new IP address of the DHCP server to the communication terminal device; And an attack blocking control unit transmitting the attack target IP address to the DDoS blocking device according to the reallocation of a new IP address to the communication terminal device.

이와 같은 본 발명에 의하면, 고객의 통신 단말 장치로 할당된 동적 IP 주소에 대한 DDoS 공격 탐지시에 공격 대상 IP 주소를 실시간 회수하고 상기 통신 단말 장치를 제어하여 신규 IP 주소를 재할당함으로써 상기 통신 단말 장치에 대한 인터넷 통신의 연결이 끊김 없이 유지되면서 DDoS 공격에 따른 패킷 전송을 차단하여 ISP(Internet Service Provider) 네트워크의 피해를 방지할 수 있다.According to the present invention, when a DDoS attack is detected for a dynamic IP address assigned to a communication terminal device of a customer, the target IP address is retrieved in real time, and a new IP address is reassigned by controlling the communication terminal device. It is possible to prevent damage to the ISP (Internet Service Provider) network by blocking packet transmission due to a DDoS attack while the connection of the Internet communication to the device is maintained seamlessly.

특히, 고객의 통신 단말 장치에 대한 DDoS 공격에 따른 유해 트래픽의 패킷은 차단하고 정상적인 패킷은 신규 IP 주소를 통해 전송되므로 고객의 통신 단말 장치가 네트워크 상에서 끊기지 않으면서 효과적으로 DDoS 공격을 차단할 수 있게 된다.In particular, since packets of harmful traffic due to DDoS attacks on the customer's communication terminal device are blocked and normal packets are transmitted through a new IP address, it is possible to effectively block DDoS attacks without the customer's communication terminal device being disconnected on the network.

나아가서 DHCP 서버의 IP 주소 풀(Pool)에서 공격 대상 IP 주소를 제외시키도록 제어한 후 공격 대상 IP 주소가 할당된 고객의 통신 단말 장치를 제어하여 IP 주소를 재할당함으로써 고객의 통신 단말 장치에 공격 대상 IP 주소가 다시 할당되는 것을 방지할 수 있다.Furthermore, after controlling to exclude the target IP address from the IP address pool of the DHCP server, it controls the customer's communication terminal device to which the attack target IP address has been assigned and reassigns the IP address to attack the customer's communication terminal device. You can prevent the destination IP address from being reassigned.

또한 DDoS 공격에 따라 공격 타겟인 고객의 통신 단말 장치에 대하여 DCHP 서버가 실시간 신규 IP 주소를 재할당함으로써, 기존에 DHCP 서버가 일정한 주기로 새로운 동적 IP 주소를 할당함에 따라 DDoS 공격으로 마비된 고객의 통신 단말 장치가 다음번 IP 주소 변경이 이루어지기 전까지는 네트워크 접속이 이루어지지 않는 불편함을 해소할 수 있다.In addition, according to the DDoS attack, the DCHP server reassigns a new IP address in real time to the customer's communication terminal device, which is the target of the attack, so that the existing DHCP server allocates a new dynamic IP address at regular intervals. It is possible to solve the inconvenience that the terminal device does not connect to the network until the next IP address change is made.

한걸은 더 나아가서 고객의 통신 단말 장치에 대한 제어 신호 패킷과 IP 주소 재할당 신호 패킷에 대해서는 고객수용라우터나 L2 스위치 등과 같은 네트워크 기간망 장비에 QoS(Quality of Service) 기능에 따른 우선순위를 설정함으로써 DDoS 공격으로 인해 회선 대역폭이 고갈되는 상황에서도 고객의 통신 단말 장치에 대한 제어와 IP 주소 재할당이 가능해진다.
Furthermore, DDoS by setting the priority according to the QoS (Quality of Service) function for the control signal packet and IP address reallocation signal packet for the customer's communication terminal device. Even when the line bandwidth is exhausted due to an attack, it becomes possible to control the customer's communication terminal device and reallocate IP addresses.

도 1은 분산서비스거부 공격(DDoS: Distributed Denial of Service)의 개념도를 도시하며,
도 2는 싱크홀 라우팅 방식으로 DDoS 공격을 차단하는 개념도를 도시하며,
도 3은 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템의 개념도를 도시하며,
도 4는 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템의 일실시예에 대한 구성도를 도시하며,
도 5는 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템에서 DDoS 탐지 장치의 일실시예에 대한 구성도를 도시하며,
도 6은 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법에 대한 일실시예의 흐름도를 도시한다.1 shows a conceptual diagram of a distributed denial of service attack (DDoS),
2 shows a conceptual diagram of blocking a DDoS attack in a sinkhole routing method,
3 is a conceptual diagram of a DDoS attack blocking system through remote control of a customer's communication terminal according to the present invention,
4 is a block diagram of an embodiment of a DDoS attack blocking system through remote control of a customer's communication terminal according to the present invention,
5 is a block diagram of an embodiment of a DDoS detection apparatus in a DDoS attack blocking system through remote control of a customer's communication terminal according to the present invention,
6 is a flowchart of an embodiment of a method for blocking a DDoS attack through remote control of a customer's communication terminal according to the present invention.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.In order to explain the present invention, operational advantages of the present invention, and objects achieved by the implementation of the present invention, the following will illustrate a preferred embodiment of the present invention and look at it with reference.

먼저, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니며, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 또한 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.First, terms used in the present application are only used to describe specific embodiments, and are not intended to limit the present invention, and expressions in the singular may include a plurality of expressions unless clearly different meanings in context. In addition, in the present application, terms such as "comprise" or "have" are intended to designate the presence of features, numbers, steps, actions, components, parts, or a combination thereof described in the specification, but one or more other It is to be understood that the presence or addition of features, numbers, steps, actions, components, parts, or combinations thereof, does not preclude in advance the possibility of being excluded.

본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
In describing the present invention, when it is determined that a detailed description of a related known configuration or function may obscure the subject matter of the present invention, a detailed description thereof will be omitted.

본 발명은 고객의 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격시 고객의 통신 단말 장치의 인터넷 사용 중단이 발생되지 않고 지속적으로 네트워크 상에 접속 가능하면서 DDoS 공격을 차단하기 위한 방안으로서, 이를 위해 공격 대상 IP 주소는 DDoS 공격에 따라 실시간 회수하고 고객의 통신 단말 장치가 신규 IP 주소를 재할당받도록 제어함으로써 공격 대상 IP 주소에 대한 유해 트래픽에 따른 패킷은 차단하면서 정상적인 패킷은 신규 IP 주소로 전송시킬 수 있는 방안을 제시한다.The present invention is a method for blocking DDoS attacks while continuously accessing the network without interrupting Internet use of the customer's communication terminal device when a DDoS attack against a dynamic IP address assigned to a customer's communication terminal device. Attack target IP address is recovered in real time according to DDoS attack, and by controlling the customer's communication terminal device to be reassigned to a new IP address, packets due to harmful traffic to the attack target IP address are blocked while normal packets are transmitted to the new IP address. Present a plan that can be done.

도 3은 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템의 개념도를 도시한다.3 is a conceptual diagram of a DDoS attack blocking system through remote control of a customer's communication terminal according to the present invention.

공격자(10)의 공격 명령에 따라 좀비 PC들(15)이 고객의 통신 단말 장치(50)에 할당된 동적 IP 주소를 타켓으로 DDoS 공격을 시도하는 경우에, DDoS 탐지 장치(110)가 이를 탐지하면 고객 단말 원격제어 장치(130)가 공격 타켓이된 고객의 통신 단말 장치(50)를 제어하여 DHCP 서버를 통해 공격 대상 IP 주소를 신규 IP 주소로 재할당받도록 한다. 그리고 고객의 통신 단말 장치(50)가 신규 IP 주소를 재할당받으면 공격 대상 IP 주소에 대한 좀비 PC들(15)로부터 전송되는 유해 트래픽에 따른 패킷은 DDoS 차단 장치(150)가 차단하고 일반 고객(20)의 정상적인 패킷은 재할당받은 신규 IP 주소로 전송됨으로써 고객의 통신 단말 장치(50)가 마비되지 않고 지속적으로 네트워크에 연결될 수 있다.When the zombie PCs 15 attempt a DDoS attack with the target of the dynamic IP address assigned to the customer's communication terminal device 50 according to the attack command of the attacker 10, the DDoS detection device 110 detects it. Then, the customer terminal remote control device 130 controls the communication terminal device 50 of the target customer to be reassigned as a new IP address through a DHCP server. And when the customer's communication terminal device 50 receives a new IP address reassignment, the DDoS blocking device 150 blocks the packet according to the harmful traffic transmitted from the zombie PCs 15 for the attack target IP address, and the general customer ( The normal packet of 20) is transmitted to the new IP address that has been reassigned, so that the communication terminal device 50 of the customer is not paralyzed and can be continuously connected to the network.

본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템의 실시예인 도 4의 구성도를 참조하여 살펴보면, 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템(100)은 DDoS 탐지 장치(110), 고객 단말 원격제어 장치(130) 및 DDoS 차단 장치(150)를 포함하여 구성될 수 있는데, DDoS 탐지 장치(110), 고객 단말 원격제어 장치(130) 및 DDoS 차단 장치(150) 각각은 개별적인 별개의 장치로 구성되어 이격된 장소에 각각 설치될 수도 있고 또는 선택적으로 결합되거나 모두 결합되어 하나의 장치로서 구현될 수도 있다.Referring to the configuration diagram of FIG. 4, which is an embodiment of a DDoS attack blocking system through remote control of a customer's communication terminal according to the present invention, the DDoS attack blocking system 100 through remote control of a customer's communication terminal according to the present invention It may be configured to include a detection device 110, a customer terminal remote control device 130, and a DDoS blocking device 150, a DDoS detection device 110, a customer terminal remote control device 130, and a DDoS blocking device 150 ) Each may be configured as a separate device and installed in a spaced apart location, or may be selectively combined or all combined to be implemented as a single device.

DDoS 탐지 장치(110)는 네트워크 상의 트래픽을 모니터링하고 유해 트래픽의 발생을 탐지하여 유해 트래픽에 따른 패킷이 집중되는 공격 대상 IP 주소를 확인한다. DDoS 탐지 장치(110)에서의 유해 트래픽 탐지는 이미 공지된 다양한 기술이 적용될 수 있으며 DDoS 공격을 탐지하는 방식은 본 발명의 주된 특징이 아니므로 자세한 설명은 생략하기로 한다.The DDoS detection device 110 monitors traffic on the network and detects the occurrence of harmful traffic to identify an attack target IP address where packets according to the harmful traffic are concentrated. For the detection of harmful traffic in the DDoS detection apparatus 110, various known techniques may be applied, and a detailed description thereof will be omitted since the method of detecting a DDoS attack is not a main feature of the present invention.

고객 단말 원격제어 장치(130)는 DDoS 탐지 장치(110)로부터 확인된 공격 대상 IP 주소를 전달받고 상기 공격 대상 IP 주소가 할당된 고객의 통신 단말 장치(50)가 신규 IP 주소를 할당받도록 제어한다. 여기서 고객의 통신 단말 장치(50)는 PC, 태블릿, 인터넷이 연결되는 스마트 장치 등 고객의 다양한 단말기를 통신 네트워크에 연결시키기 위해 동적 IP 주소가 할당되는 모뎀, 허브, 공유기 등의 DHCP 프로토콜을 사용하는 다양한 통신 장치를 포함한다.The customer terminal remote control device 130 receives the identified attack target IP address from the DDoS detection device 110 and controls the communication terminal device 50 of the customer to which the attack target IP address is assigned to receive a new IP address. . Here, the customer's communication terminal device 50 uses DHCP protocols such as modems, hubs, routers, etc. to which dynamic IP addresses are assigned to connect various terminals of the customer such as PCs, tablets, and smart devices to which the Internet is connected to the communication network. It includes a variety of communication devices.

DDoS 차단 장치(150)는 DDoS 공격 타겟인 고객의 통신 단말 장치(50)에 신규 IP 주소가 할당되면 공격 대상 IP 주소로 전송되는 패킷을 차단한다. 이를 위해 DDoS 차단 장치(150)는 블랙홀 라우팅 방식을 적용하여 상기 공격 대상 IP 주소로 전송되는 모든 패킷을 폐기하는 라우터를 포함할 수도 있고 또는 싱크홀 라우팅 방식을 적용하여 상기 공격 대상 IP 주소로 전송되는 패킷을 우회시키는 싱크홀을 포함할 수도 있다.The DDoS blocking device 150 blocks packets transmitted to the attack target IP address when a new IP address is assigned to the communication terminal device 50 of the customer, which is a DDoS attack target. To this end, the DDoS blocking device 150 may include a router that discards all packets transmitted to the attack target IP address by applying a black hole routing method, or a sinkhole routing method that is transmitted to the attack target IP address. It may also include a sink hole to bypass the packet.

나아가서 DDoS 탐지 장치(110)는 유해 트래픽에 따른 공격 대상 IP 주소를 확인하면, 확인된 공격 대상 IP 주소를 고객 단말 원격제어 장치(130), DDoS 차단 장치(150) 및 DHCP 서버(200) 등에 전송하여 원활한 DDoS 차단이 이루어지도록 하는데, 이와 관련하여 도 5는 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템의 일실시예에 대한 구성도를 도시하며, 상기 도 4를 통해 DDoS 탐지 장치(110)에 대하여 좀더 살펴보기로 한다.Furthermore, when the DDoS detection device 110 checks the attack target IP address according to the harmful traffic, the identified attack target IP address is transmitted to the remote control device 130 of the customer terminal, the DDoS blocking device 150, and the DHCP server 200. In this regard, FIG. 5 shows a configuration diagram of an embodiment of a DDoS attack blocking system through remote control of a customer's communication terminal according to the present invention, and DDoS detection through FIG. 4 The device 110 will be described in more detail.

DDoS 탐지 장치(110)는 DDoS 탐지부(111), DHCP 연동부(113) 및 공격 차단 제어부(115)를 포함하여 구성될 수 있다.The DDoS detection device 110 may include a DDoS detection unit 111, a DHCP linking unit 113, and an attack blocking control unit 115.

DDoS 탐지부(111)는 네트워크 상의 트래픽을 모니터링하고 유해 트래픽의 발생을 탐지하여 유해 트래픽에 따른 패킷이 집중되는 공격 대상 IP 주소를 확인하여 확인된 공격 대상 IP 주소를 고객 단말 원격제어 장치(130)로 제공한다.The DDoS detection unit 111 monitors the traffic on the network and detects the occurrence of harmful traffic, checks the attack target IP address where the packet according to the harmful traffic is concentrated, and sends the identified attack target IP address to the customer terminal remote control device 130 Provided as

DHCP 연동부(113)는 DHCP 서버(200)와 연동하여 DHCP 서버(200)의 IP 주소 풀(Pool)에서 공격 대상 IP 주소를 제외시키도록 하는데, DHCP 서버(200)의 IP 주소 풀에서 공격 대상 IP 주소를 제외시킴으로써 공격 대상 IP 주소가 다시 고객의 통신 단말 장치(50)로 할당되는 것을 방지할 수 있다. 또한 DHCP 연동부(113)는 DHCP 서버(200)로부터 고객의 통신 단말 장치(50)에 신규 IP 주소가 재할당되었음을 확인한다.The DHCP linking unit 113 interlocks with the DHCP server 200 to exclude an attack target IP address from the IP address pool of the DHCP server 200, and the attack target from the IP address pool of the DHCP server 200 By excluding the IP address, it is possible to prevent the attack target IP address from being assigned to the communication terminal device 50 of the customer again. In addition, the DHCP linking unit 113 confirms that a new IP address has been reassigned from the DHCP server 200 to the communication terminal device 50 of the customer.

그리고 DHCP 연동부(113)가 DHCP 서버(200)로부터 고객의 통신 단말 장치(50)에 신규 IP 주소가 재할당되었음을 확인하면, 공격 차단 제어부(115)는 DDoS 차단 장치(150)에 공격 대상 IP 주소를 전송하여 공격 대상 IP 주소로 전송되는 패킷을 차단한다.
And when the DHCP interworking unit 113 confirms that a new IP address has been reassigned from the DHCP server 200 to the customer's communication terminal device 50, the attack blocking control unit 115 sends the DDoS blocking device 150 to the target IP address. Blocks packets sent to the target IP address by sending the address.

이와 같은 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템을 이용하여 본 발명에서는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법을 제시하는데, 이하에서는 도 6에 도시된 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법에 대한 일실시예의 흐름도를 참고하여 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법에 대하여 살펴보기로 한다.Using the DDoS attack blocking system through the remote control of the customer's communication terminal according to the present invention, the present invention proposes a DDoS attack blocking method through the remote control of the customer's communication terminal. Hereinafter, the present invention shown in FIG. Referring to a flowchart of an embodiment of a method for blocking a DDoS attack through remote control of a customer's communication terminal according to the present invention, a method of blocking a DDoS attack through remote control of a customer's communication terminal according to the present invention will be described.

DDoS 탐지 장치(110)는 네트워크 상의 트래픽을 모니터링하고 유해 트래픽 발생에 따른 DDoS 공격을 탐지(S10)하는데, 앞서 설명한 바와 같이 DDoS 탐지 장치(110)에서의 유해 트래픽 탐지는 이미 공지된 다양한 기술이 적용될 수 있다. 그리고 특정 IP 주소에 대한 DDoS 공격이 탐지되면 공격 대상 IP 주소를 확인(S30)하여 공격 대상 IP 주소가 할당된 고객의 통신 단말 장치(50)를 제어하여 신규 IP 주소를 재할당받을 수 있도록 공격 대상 IP 주소를 고객 단말 원격제어 장치(130)에 제공한다. The DDoS detection device 110 monitors the traffic on the network and detects a DDoS attack according to the occurrence of harmful traffic (S10).As described above, the detection of harmful traffic in the DDoS detection device 110 applies various known technologies. I can. In addition, when a DDoS attack on a specific IP address is detected, the target IP address is checked (S30), and the target of the attack is controlled so that a new IP address can be reassigned by controlling the communication terminal device 50 of the customer to which the attack target IP address is assigned. The IP address is provided to the remote control device 130 of the customer terminal.

이때, 고객의 통신 단말 장치(50)가 DHCP 서버(200)로 IP 주소의 재할당을 요청하는 경우에 DHCP 서버(200)가 공격 대상 IP 주소를 다시 고객의 통신 단말 장치(50)에 할당하는 경우가 발생되므로 본 발명에서는 고객의 통신 단말 장치(50)에 다시 공격 대상 IP 주소가 재할당되는 경우를 방지하는데, 이를 살펴보면 상기 도 6의 실시예에 도시된 바와 같이 고객의 통신 단말 장치(50)가 IP 주소를 재할당받기에 앞서 DDoS 탐지 장치(110)는 DHCP 서버(200)에 IP 주소 풀 처리를 위한 제어 신호를 전송한다. IP 주소 풀 처리를 위한 제어신호에는 공격 대상 IP 주소가 포함되며, 이에 따라 DHCP 서버(200)는 IP 주소 풀 상에서 공격 대상 IP 주소를 제외(S70)시키고 IP 주소 풀에 대한 처리가 완료되었음을 DDoS 탐지 장치(110)에 알린다.(S90) 이와 같은 과정을 통해 공격 대상 IP 주소가 다시 고객의 통신 단말 장치(50)에 할당되는 것을 방지할 수 있으며, DHCP 서버(200)에서 공격 대상 IP 주소를 제외시켜도 고객의 통신 단말 장치(50)는 신규 IP 주소를 재할당받기 전까지는 공격 대상 IP 주소로 네트워크 접속이 유지된다.At this time, when the customer's communication terminal device 50 requests reassignment of the IP address to the DHCP server 200, the DHCP server 200 allocates the attack target IP address to the customer's communication terminal device 50 again. Since a case occurs, the present invention prevents the case of reassigning the attack target IP address to the customer's communication terminal device 50. Looking at this, as shown in the embodiment of FIG. 6, the customer's communication terminal device 50 ) Before the IP address is reassigned, the DDoS detection device 110 transmits a control signal for IP address pool processing to the DHCP server 200. The control signal for processing the IP address pool includes the target IP address, and accordingly, the DHCP server 200 excludes the target IP address from the IP address pool (S70) and detects DDoS that the IP address pool has been processed. It is notified to the device 110. (S90) Through this process, it is possible to prevent the attack target IP address from being assigned to the customer's communication terminal device 50 again, and the DHCP server 200 excludes the attack target IP address. Even if so, the customer's communication terminal device 50 maintains network access to the attack target IP address until a new IP address is reassigned.

DHCP 서버(200)로부터 IP 주소 풀 처리가 완료되면 DDoS 탐지 장치(110)는 고객 단말 원격제어 장치(130)로 고객의 통신 단말 장치(50)에 대한 신규 IP 주소의 재할당을 제어하도록 IP 주소 재할당 제어 신호를 전송(S110)하며, 상기 IP 주소 재할당 제어 신호에는 공격 대상 IP 주소가 포함된다. When the IP address pool processing is completed from the DHCP server 200, the DDoS detection device 110 controls the reassignment of a new IP address to the customer's communication terminal device 50 to the customer terminal remote control device 130. A reassignment control signal is transmitted (S110), and the IP address reassignment control signal includes an attack target IP address.

DDoS 탐지 장치(110)로부터 고객의 통신 단말 장치(50)에 대한 IP 주소 재할당 제어 신호를 전송받은 고객 단말 원격제어 장치(130)는 공격 대상 IP 주소가 할당된 고객의 통신 단말 장치(50)가 신규 IP 주소를 재할당받도록 고객 통신 단말 제어 신호를 생성(S120)하여 이를 공격 대상 IP 주소가 할당된 고객의 통신 단말 장치(50)로 전송(S130)한다. 여기서 상기 고객 통신 단말 제어 신호에는 고객의 통신 단말 장치(50)를 재부팅시키는 제어 명령이 포함된다.The customer terminal remote control device 130 receiving the IP address reallocation control signal for the customer's communication terminal device 50 from the DDoS detection device 110 is the customer's communication terminal device 50 to which the attack target IP address is assigned. A customer communication terminal control signal is generated (S120) so that the new IP address is reassigned and transmitted to the communication terminal device 50 of the customer to which the attack target IP address is assigned (S130). Here, the customer communication terminal control signal includes a control command for rebooting the communication terminal device 50 of the customer.

고객 단말 원격제어 장치(130)의 고객 통신 단말 제어 신호에 따라 고객의 통신 단말 장치(50)가 재부팅(S140)되며, 재부팅에 따라 고객의 통신 단말 장치(50)는 DHCP 서버(200)로 IP 주소의 재할당을 요청(S150)하고, 이에 따라 DHCP 서버(200)는 고객의 통신 단말 장치(50)에 신규 IP 주소 할당정보를 포함하는 DHCP ACK 패킷을 전송하여 신규 IP 주소를 재할당(S160)한다. 이때 DHCP 서버(200)는 사전에 IP 주소 풀 상에서 공격 대상 IP 주소를 제외시켰으므로 이와 다른 신규 IP 주소를 할당하게 된다. DHCP 서버(200)로부터 신규 IP 주소 할당정보를 포함하는 DHCP ACK 패킷을 전송받은 고객의 통신 단말 장치(50)는 새롭게 할당받은 신규 IP 주소로 IP 주소를 변경한다.The customer's communication terminal device 50 is rebooted (S140) according to the customer communication terminal control signal of the customer terminal remote control device 130, and the customer's communication terminal device 50 is IP addressed to the DHCP server 200 according to the reboot. A request for reassignment of the address (S150), and accordingly, the DHCP server 200 transmits a DHCP ACK packet including the new IP address allocation information to the communication terminal device 50 of the customer to reassign a new IP address (S160 )do. At this time, since the DHCP server 200 excludes the attack target IP address from the IP address pool in advance, it allocates a new IP address different from this. Upon receiving the DHCP ACK packet including the new IP address allocation information from the DHCP server 200, the customer's communication terminal device 50 changes the IP address to the newly allocated new IP address.

여기서 바람직하게는 DDoS 공격을 받는 상황에서는 공격 대상 IP 주소가 할당된 고객의 통신 단말 장치를 수용하는 상위 회선의 대역폭이 고갈됨으로써, 고객의 통신 단말 장치와 DDoS 탐지 장치(110) 및 DHCP 서버(200) 간의 패킷 전송이 이루어지지 않을 수 있다. 따라서 본 발명에서는 고객 단말 원격제어 장치(130)로부터 고객의 통신 단말 장치(50)로 전송되는 IP 주소 재할당 제어 신호 패킷과 고객의 통신 단말 장치(50)와 DHCP 서버(200) 간에 IP 주소 재할당 패킷에는 고객수용라우터(미도시)나 L2 스위치(미도시) 등과 같은 네트워크 기간망 장비에 QoS(Quality of Service) 기능에 따른 우선순위를 설정함으로써 DDoS 공격 중에도 고객의 통신 단말 장치(50)에 대한 제어와 IP 주소 재할당이 가능하도록 한다.Here, preferably, in a DDoS attack situation, the bandwidth of the upper line accommodating the customer's communication terminal device to which the attack target IP address is assigned is exhausted, so that the customer's communication terminal device, the DDoS detection device 110, and the DHCP server 200 ) Packet transmission may not be performed. Therefore, in the present invention, the IP address reallocation control signal packet transmitted from the customer terminal remote control device 130 to the customer's communication terminal device 50 and the IP address re-assignment between the customer's communication terminal device 50 and the DHCP server 200 In the allocation packet, priority is set according to the QoS (Quality of Service) function in the network backbone equipment such as a customer-accepting router (not shown) or L2 switch (not shown), so that the communication terminal device 50 of the customer is protected even during a DDoS attack. Enables control and IP address reassignment.

고객의 통신 단말 장치(50)에 신규 IP 주소의 재할당이 완료되면, DHCP 서버(200)는 DDoS 탐지 장치(110)로 고객의 통신 단말 장치(50)에 대한 신규 IP 주소 재활당 완료 신호를 전송(S170)한다.When reassignment of the new IP address to the customer's communication terminal device 50 is completed, the DHCP server 200 transmits a new IP address rehabilitation completion signal to the DDoS detection device 110 to the customer's communication terminal device 50. Transmit (S170).

DDoS 탐지 장치(110)는 고객의 통신 단말 장치(50)에 대한 신규 IP 주소의 재활당이 완료되었음을 확인하고 DDoS 차단 장치(150)로 공격 대상 IP 주소를 포함하는 공격 차단 제어 신호를 전송(S210)를 전송하며, 상기 공격 차단 제어 신호를 기초로 DDoS 차단 장치(150)는 공격 대상 IP 주소로 전송되는 패킷을 차단(S230)한다. 여기서 DDoS 차단 장치(150)는 블랙홀 라우팅 방식을 적용하여 상기 공격 대상 IP 주소로 전송되는 모든 패킷을 폐기할 수도 있으며, 또는 싱크홀 라우팅 방식을 적용하여 상기 공격 대상 IP 주소로 전송되는 패킷을 싱크홀로 우회시킬 수도 있다.
The DDoS detection device 110 confirms that the relocation of the new IP address to the customer's communication terminal device 50 has been completed, and transmits an attack blocking control signal including the attack target IP address to the DDoS blocking device 150 (S210). ), and the DDoS blocking device 150 blocks a packet transmitted to an attack target IP address based on the attack blocking control signal (S230). Here, the DDoS blocking device 150 may discard all packets transmitted to the attack target IP address by applying a black hole routing method, or apply a sinkhole routing method to sink packets transmitted to the attack target IP address. You can also bypass it.

이상에서 살펴본 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법 및 이를 위한 DDoS 공격 차단 시스템을 통해 고객의 통신 단말 장치로 할당된 동적 IP 주소에 대한 DDoS 공격 탐지시에 공격 대상 IP 주소를 실시간 회수하고 상기 통신 단말 장치를 제어하여 신규 IP 주소를 재할당함으로써 상기 통신 단말 장치에 대한 인터넷 통신의 연결이 끊김 없이 유지되면서 DDoS 공격에 따른 패킷 전송을 차단하여 ISP(Internet Service Provider) 네트워크의 피해를 방지할 수 있다.
The attack target IP address when detecting a DDoS attack against the dynamic IP address assigned to the customer's communication terminal device through the DDoS attack blocking method through the remote control of the customer's communication terminal according to the present invention and the DDoS attack blocking system therefor. In real time, the communication terminal device is controlled to reallocate a new IP address, thereby maintaining a seamless connection of the Internet communication to the communication terminal device and blocking packet transmission due to a DDoS attack, thereby preventing the ISP (Internet Service Provider) network. Damage can be prevented.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
The above description is merely illustrative of the technical idea of the present invention, and those of ordinary skill in the art to which the present invention pertains will be able to make various modifications and variations without departing from the essential characteristics of the present invention. Accordingly, the embodiments described in the present invention are not intended to limit the technical spirit of the present invention, but to explain the technical spirit, and the technical spirit of the present invention is not limited by these embodiments. The scope of protection of the present invention should be interpreted by the claims below, and all technical ideas within the scope equivalent thereto should be construed as being included in the scope of the present invention.

100 : 고객의 통신 단말 원격 제어를 통한 DDoS 공격 시스템,
110 : DDoS 탐지 장치,
111 : DDoS 탐지부, 113 : DHCP 연동부,
115 : 공격 차단부,
130 : 고객 단말 원격제어 장치,
150 : DDoS 차단 장치,
200 : DHCP 서버.100: DDoS attack system through remote control of customer's communication terminal,
110: DDoS detection device,
111: DDoS detection unit, 113: DHCP linkage unit,
115: attack blocking unit,
130: customer terminal remote control device,
150: DDoS blocking device,
200: DHCP server.

Claims (9)

DDoS 탐지 장치가 통신 단말 장치에 할당된 동적 IP 주소를 공격 대상 IP 주소로 하는 DDoS 공격을 탐지하면, 고객 단말 원격제어 장치가 상기 통신 단말 장치에 신규 IP 주소가 재할당되도록 상기 통신 단말 장치를 제어하는 IP 재할당 제어 단계;
상기 통신 단말 장치로부터의 IP 재할당 요청에 따라, DHCP 서버가 상기 통신 단말 장치에 대한 신규 IP 주소를 재할당하는지 여부를, 상기 DDoS 탐지 장치가 확인하는 IP 재할당 확인 단계; 및
상기 통신 단말 장치에 대한 신규 IP 주소의 재할당이 확인되면, DDoS 차단 장치가 상기 공격 대상 IP 주소로 전송되는 패킷을 차단하는 공격 대상 IP 차단 단계를 포함하는 것으로,
상기 IP 재할당 제어 단계는,
상기 DDoS 탐지 장치가 DDoS 공격 탐지에 따른 공격 대상 IP 주소를 확인하는 단계;
상기 DDoS 탐지 장치가 상기 DHCP 서버의 IP 주소 풀(Pool)에서 상기 공격 대상 IP 주소를 제외시키도록 제어하고 이를 확인하는 단계; 및
상기 고객 단말 원격 제어장치가 상기 통신 단말 장치에 대하여 재부팅하도록 고객 통신 단말 제어 신호를 생성하여 전송하는 단계를 포함하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법.When the DDoS detection device detects a DDoS attack using the dynamic IP address assigned to the communication terminal device as the target IP address, the remote control device of the customer terminal controls the communication terminal device so that a new IP address is reassigned to the communication terminal device. IP reallocation control step;
An IP reassignment check step of the DDoS detection device confirming whether or not a DHCP server reallocates a new IP address for the communication terminal device according to an IP reassignment request from the communication terminal device; And
When reassignment of a new IP address to the communication terminal device is confirmed, the DDoS blocking device includes an attack target IP blocking step of blocking packets transmitted to the attack target IP address
The IP reallocation control step,
Checking, by the DDoS detection device, an attack target IP address according to DDoS attack detection;
Controlling the DDoS detection device to exclude the target IP address from the IP address pool of the DHCP server and confirming it; And
And generating and transmitting a control signal for a customer communication terminal so that the remote control device for the customer terminal may reboot the communication terminal device. 삭제delete 제 1 항에 있어서,
상기 IP 재할당 확인 단계는,
상기 통신 단말 장치가 재부팅되면, 상기 통신 단말 장치에 대한 IP 주소의 재할당을 상기 DHCP 서버에 요청하여 신규 IP 주소가 재할당되는 단계; 및
상기 DDoS 탐지 장치가 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당을 상기 DHCP 서버를 통해 확인하는 단계를 포함하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법.The method of claim 1,
The step of confirming the IP reassignment,
When the communication terminal device is rebooted, requesting reassignment of an IP address for the communication terminal device to the DHCP server to reassign a new IP address; And
And checking, by the DDoS detection device, reassignment of a new IP address to the communication terminal device through the DHCP server. 제 1 항에 있어서,
상기 공격 대상 IP 차단 단계는,
상기 통신 단말 장치에 대한 신규 IP 주소가 재할당되면, 상기 DDoS 탐지 장치가 상기 공격 대상 IP 주소를 상기 DDoS 차단 장치로 전송하는 단계; 및
상기 DDoS 차단 장치가 상기 공격 대상 IP 주소로 전송되는 패킷을 차단하는 단계를 포함하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법.The method of claim 1,
The attack target IP blocking step,
Transmitting, by the DDoS detection device, the attack target IP address to the DDoS blocking device when a new IP address for the communication terminal device is reassigned; And
And blocking, by the DDoS blocking device, a packet transmitted to the attack target IP address, through a remote control of a communication terminal of a customer. DHCP 서버가, 통신 단말 장치에 할당된 동적 IP 주소를 공격 대상 IP주소로 하는 DDoS 공격을 탐지한 DDoS 탐지 장치로부터, 공격 대상 IP 주소를 전달받는 단계;
상기 DHCP 서버가 IP 주소 풀(Pool)에서 상기 공격 대상 IP 주소를 제외시키는 단계;
상기 DHCP 서버가, 재부팅된 상기 통신 단말 장치로부터 신규 IP 주소에 대한 IP 재할당 요청을 받는 단계; 및
상기 DHCP 서버가 상기 통신 단말 장치로 신규 IP 주소를 재할당하고 상기 통신 단말 장치에 대한 신규 IP 주소 재할당 완료 신호를 상기 DDoS 탐지 장치로 전송하는 단계를 포함하는 것을 특징으로 하는 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법.Receiving, by a DHCP server, an attack target IP address from a DDoS detection device that detects a DDoS attack using a dynamic IP address assigned to the communication terminal device as an attack target IP address;
Excluding, by the DHCP server, the target IP address from an IP address pool;
Receiving, by the DHCP server, an IP reassignment request for a new IP address from the rebooted communication terminal device; And
And transmitting, by the DHCP server, a new IP address to the communication terminal device, and transmitting a new IP address reallocation completion signal to the communication terminal device to the DDoS detection device. How to block DDoS attacks through. 통신 단말 장치의 할당된 동적 IP 주소를 공격 대상 IP 주소로 하는 DDoS 공격이 탐지되면, 상기 통신 단말 장치가 고객 단말 원격 제어장치로부터 IP 주소 재할당을 위한 고객 통신 단말 제어 신호를 전송받는 단계;
상기 통신 단말 장치가, 상기 고객 통신 단말 제어 신호를 기초로 재부팅을 수행하고, DHCP 서버로 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당을 요청하는 단계; 및
상기 통신 단말 장치가 상기 DHCP 서버로부터 신규 IP 주소를 할당받으면, 상기 신규 IP 주소를 통해 네트워크에 연결되는 단계를 포함하는 것으로,
상기 DDoS 공격이 탐지되면, 상기 공격 대상 IP 주소는 상기 DHCP 서버의 IP 주소 풀(pool)에서 제외되는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법.When a DDoS attack using the assigned dynamic IP address of the communication terminal device as an attack target IP address is detected, the communication terminal device receiving a customer communication terminal control signal for IP address reallocation from the remote control device of the customer terminal;
Performing, by the communication terminal device, rebooting based on the customer communication terminal control signal, and requesting a DHCP server to reassign a new IP address to the communication terminal device; And
If the communication terminal device is assigned a new IP address from the DHCP server, comprising the step of connecting to the network through the new IP address,
When the DDoS attack is detected, the attack target IP address is excluded from the IP address pool of the DHCP server. 삭제delete 통신 단말 장치에 할당된 동적 IP 주소를 공격 대상 IP 주소로 하는 DDoS 공격을 탐지하는 DDoS 탐지 장치;
DDoS 공격이 탐지되면, 상기 통신 단말 장치가 DHCP 서버로부터 신규 IP 주소를 재할당받도록, 상기 통신 단말 장치를 제어하는 고객 단말 원격 제어 장치; 및
상기 통신 단말 장치에 대한 신규 IP 주소가 재할당되면, 상기 공격 대상 IP 주소로 전송되는 패킷을 차단하는 DDoS 차단 장치를 포함하는 것으로,
상기 DDoS 탐지 장치는
상기 DHCP 서버의 IP 주소 풀(Pool)에서 상기 공격 대상 IP 주소를 제외시키도록 제어하고,
상기 고객 단말 원격 제어 장치는
상기 통신 단말 장치에 대하여 재부팅하도록 고객 통신 제어 신호를 생성하여 전송하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템.A DDoS detection device for detecting a DDoS attack using a dynamic IP address assigned to a communication terminal device as an attack target IP address;
When a DDoS attack is detected, a customer terminal remote control device that controls the communication terminal device so that the communication terminal device reassigns a new IP address from a DHCP server; And
Including a DDoS blocking device for blocking packets transmitted to the attack target IP address when a new IP address for the communication terminal device is reassigned,
The DDoS detection device
Control to exclude the attack target IP address from the IP address pool of the DHCP server,
The customer terminal remote control device
A DDoS attack blocking system through remote control of a customer's communication terminal, characterized in that for generating and transmitting a customer communication control signal to reboot the communication terminal device. 제 8 항에 있어서,
상기 DDoS 탐지 장치는,
통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격을 탐지하고, 공격 대상 IP 주소를 확인하여 상기 고객 단말 원격 제어 장치에 제공하는 DDoS 탐지부;
DHCP 서버와 연동하여 상기 DHCP 서버의 IP 주소 풀(Pool)에서 공격 대상 IP 주소를 제외시키고, 상기 통신 단말 장치에 대한 상기 DHCP 서버의 신규 IP 주소의 재할당을 확인하는 DHCP 연동부; 및
상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 상기 공격 대상 IP 주소를 상기 DDoS 차단 장치로 전송하는 공격 차단 제어부를 포함하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템.The method of claim 8,
The DDoS detection device,
A DDoS detection unit that detects a DDoS attack on a dynamic IP address assigned to a communication terminal device, checks an attack target IP address, and provides it to the remote control device of the customer terminal;
A DHCP interworking unit interworking with a DHCP server to exclude an attack target IP address from the IP address pool of the DHCP server, and to check reassignment of a new IP address of the DHCP server to the communication terminal device; And
And an attack blocking control unit transmitting the attack target IP address to the DDoS blocking device according to the reallocation of a new IP address to the communication terminal device.
KR1020140058969A 2014-05-16 2014-05-16 Method and system for protecting DDoS attack KR102193588B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140058969A KR102193588B1 (en) 2014-05-16 2014-05-16 Method and system for protecting DDoS attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140058969A KR102193588B1 (en) 2014-05-16 2014-05-16 Method and system for protecting DDoS attack

Publications (2)

Publication Number Publication Date
KR20150132746A KR20150132746A (en) 2015-11-26
KR102193588B1 true KR102193588B1 (en) 2020-12-23

Family

ID=54847327

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140058969A KR102193588B1 (en) 2014-05-16 2014-05-16 Method and system for protecting DDoS attack

Country Status (1)

Country Link
KR (1) KR102193588B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3817318A1 (en) * 2019-11-01 2021-05-05 British Telecommunications public limited company Network operation

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011129968A (en) * 2009-12-15 2011-06-30 Panasonic Corp Communication terminal device

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110026926A (en) * 2009-09-09 2011-03-16 (주)제이투씨엔에스 (method for blocking distributed denial of service
KR101358794B1 (en) * 2012-03-28 2014-02-10 에스케이브로드밴드주식회사 Distributed denial of service attack protection system and method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011129968A (en) * 2009-12-15 2011-06-30 Panasonic Corp Communication terminal device

Also Published As

Publication number Publication date
KR20150132746A (en) 2015-11-26

Similar Documents

Publication Publication Date Title
CN107623663B (en) Method and device for processing network flow
US7607021B2 (en) Isolation approach for network users associated with elevated risk
US11477163B2 (en) Scrubbed internet protocol domain for enhanced cloud security
US9614870B2 (en) Method of DDoS and hacking protection for internet-based servers using a private network of internet servers by executing computer-executable instructions stored on a non-transitory computer-readable medium
US20100115622A1 (en) System and method for monitoring network traffic
CN108270722B (en) Attack behavior detection method and device
US9392019B2 (en) Managing cyber attacks through change of network address
CN101834870A (en) Method and device for preventing deceptive attack of MAC (Medium Access Control) address
WO2017041656A1 (en) Traffic processing method, device and system
US10148676B2 (en) Method and device for defending DHCP attack
US10686832B2 (en) Dynamic allocation of a signal receiver for dissemination of threat information
CN101459653B (en) Method for preventing DHCP packet attack based on Snooping technique
US9350754B2 (en) Mitigating a cyber-security attack by changing a network address of a system under attack
WO2018095375A1 (en) Dns protection method, management device, and domain name server
US20210185083A1 (en) Packet fingerprinting for enhanced distributed denial of service protection
JP2008271242A (en) Network monitor, program for monitoring network, and network monitor system
KR100533785B1 (en) Method for preventing arp/ip spoofing automatically on the dynamic ip address allocating environment using dhcp packet
US9985985B2 (en) Method of distributed denial of service (DDos) and hacking protection for internet-based servers using a private network of internet servers by executing computer-executable instructions stored on a non-transitory computer-readable medium
Wang et al. An SDN-based defensive solution against DHCP attacks in the virtualization environment
JP2011129968A (en) Communication terminal device
CN113014680B (en) Broadband access method, device, equipment and storage medium
KR102193588B1 (en) Method and system for protecting DDoS attack
Kwon et al. Network security management using ARP spoofing
CN103905383A (en) Data message forwarding method, device and system
EP3989509A1 (en) Method for realizing network dynamics, system, terminal device and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant