KR20040044209A - 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치 - Google Patents

서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치 Download PDF

Info

Publication number
KR20040044209A
KR20040044209A KR1020020071890A KR20020071890A KR20040044209A KR 20040044209 A KR20040044209 A KR 20040044209A KR 1020020071890 A KR1020020071890 A KR 1020020071890A KR 20020071890 A KR20020071890 A KR 20020071890A KR 20040044209 A KR20040044209 A KR 20040044209A
Authority
KR
South Korea
Prior art keywords
queue
stt
service
packet
priority queue
Prior art date
Application number
KR1020020071890A
Other languages
English (en)
Other versions
KR100481614B1 (ko
Inventor
안개일
김기영
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0071890A priority Critical patent/KR100481614B1/ko
Priority to AU2003218813A priority patent/AU2003218813A1/en
Priority to PCT/KR2003/000628 priority patent/WO2004047383A1/en
Priority to US10/535,455 priority patent/US7882556B2/en
Publication of KR20040044209A publication Critical patent/KR20040044209A/ko
Application granted granted Critical
Publication of KR100481614B1 publication Critical patent/KR100481614B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • H04L47/62Queue scheduling characterised by scheduling criteria
    • H04L47/6215Individual queue per QOS, rate or priority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • H04L47/62Queue scheduling characterised by scheduling criteria
    • H04L47/625Queue scheduling characterised by scheduling criteria for service slots or service orders
    • H04L47/6255Queue scheduling characterised by scheduling criteria for service slots or service orders queue load conditions, e.g. longest queue first

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 악의 있는 사용자의 서비스 거부(Denial of Service, 이하 DoS라 칭함) 공격과 분산 서비스 거부(Distributed Denial of Service, 이하 DDoS라 칭함) 공격으로부터 발생되는 엄청난 양의 트래픽(traffic)으로부터 정상 사용자의 트래픽을 보호하는 방법 및 그 장치에 관한 것으로써 보호할 망 또는 인터넷 서버(internet server)의 앞단에 독자적으로 설치된다. 본 발명에서, 수신되는 모든 트래픽은 근원지 기반의 트래픽 트렁크(Source-based Traffic Trunk, 이하 STT라 칭함) 단위로 세분화되며, DDoS 트래픽(DoS 트래픽 포함)과 정상 트래픽을 차등 서비스할 목적으로 높은 순위의 큐와 낮은 순위의 큐를 사용한다. 본 발명에 따른 장치는 큐 정보 테이블을 유지하고 있는데, 이것은 각 STT에 대한 부하 정보와 서비스 큐 정보를 저장하고 있다. 패킷이 수신될 때마다 큐 정보 테이블에서 그 패킷에 해당되는 STT의 서비스 큐를 발견하여, 그 결과에 따라서 그 패킷은 높은 순위의 큐 또는 낮은 순위의 큐로 보내져 차등화된 서비스를 받는다. 즉, DoS와 DDoS 트래픽은 우선순위 낮은 큐를 사용하여 서비스되며, 정상 트래픽은 우선순위 높은 큐를 사용하여 서비스된다. 큐 정보 테이블에 저장된 각 STT들의 서비스 큐는 그 STT의 부하와 높은 우선 순위 큐의 부하에 따라서 동적으로 변경된다.

Description

서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 방법 및 그 장치{METHOD AND APPARATUS FOR PROTECTING LEGITIMATE TRAFFIC FROM DoS AND DDoS ATTACKS}
본 발명은 서비스 거부(Denial of Service, 이하 DoS라 칭함)와 분산 서비스 거부(Distributed Denial of Service, 이하 DDoS라 칭함) 공격으로부터 정상 트래픽(traffic)을 보호하는 방법 및 그 장치에 관한 것으로, 특히, DoS와 DDoS 공격에서 발생되는 엄청난 양의 트래픽으로부터 정상 트래픽을 보호하는 방법 및 그 장치에 관한 것이다.
DoS 공격은 목적 망/서버에 단시간에 많은 트래픽을 집중시킴으로써 목적 시스템이 서비스를 제공할 수 없게 만드는 공격이다. DDoS 공격은 DoS 공격의 한 형태로써 수 많은 공격 사이트들이 한꺼번에 목적 망/서버에 트래픽을 집중시키는 공격으로써 DoS 공격보다 탐지 및 차단이 더 어려운 공격이다.
공격 방법에 따라서, DoS 공격은 TCP 프로토콜의 특성을 이용한 공격 유형과 단순히 트래픽을 폭주시키는 공격 유형으로 구분할 수 있다.
먼저, TCP 프로토콜의 특성을 이용한 공격 유형은 TCP 클라이언트가 TCP 서버와 연결을 설정할 때 3단계 오퍼레이션(즉, 첫번째로 클라이언트가 서버에게 SYN 패킷 보냄, 두 번째로 서버는 클라이언트에게 SYN-ACK 패킷 보냄, 마지막으로 클라이언트는 서버에게 ACK 패킷을 보냄)을 사용하는데, 이 특성을 이용한 공격으로써 TCP SYN 플러딩 공격이 있다. TCP SYN 플러딩 공격은 SYN 패킷을 계속 보내면서도 서버가 보낸 SYN-ACK 패킷을 무시하는 방법을 사용한 공격이다.
단순히 트래픽을 폭주시키는 방법을 사용하는 공격은 UDP 패킷 플러딩 공격, 핑(Ping) 요구 플러딩 공격, 그리고 HTTP 요구 플러딩 공격 등이 있다.
이러한 DoS 공격을 차단하기 위한 종래의 기술은 다음과 같다.
(1) TCP 프로토콜의 서버 측 알고리즘을 개선하는 기술
(2) 페어-큐잉(Fair-queuing) 기술
(3) 레이트-리미트(Rate-limit) 기술
TCP 프로토콜의 서버 측 알고리즘을 개선하는 기술은 기존 SYN 패킷 플러딩을 이용한 공격을 차단하는데 사용되는 제한적 기술로서 트래픽을 폭주시키는 공격은 막을 수 없는 기술이다.
페어-큐잉 기술은 라우터에서 폭주 제어와 공정한 자원(대역폭) 분배를 위하여 제안된 기술이다.
도 1은 종래 페어-큐잉의 기본 알고리즘을 나타낸 도면으로, 수신되는 패킷들은 각 플로우(flow) 별로 분리되어 해당 큐를 사용하여 다음 노드로 전송된다. 이때 큐들은 라운드 로빈(Round-robin) 방식으로 공평하게 서비스한다. 즉, 각 큐들은 총 링크 대역폭의 1/n 만큼씩 나누어 갖는다. 이 기술은 DoS 공격에서는 효과가 있지만, DDoS 공격에서는 효과적으로 그 공격을 차단할 수 없는 문제점을 가지고 있다. 즉, 악의있는 사용자가 플로우를 더 많이 생성하면 할수록 정상 사용자가 사용할 수 있는 대역폭은 그에 비례하여 더 줄어드는 문제가 있다.
레이트-리미트 기술은 TCP SYN 플러딩 공격 뿐만 아니라 트래픽 폭주 공격 들을 차단하기 위하여 제안된 기술이다.
도 2는 종래 레이트-리미트의 기본 알고리즘을 나타낸 도면으로, 레이트-리미트 기술은 특정 플로우들의 대역폭을 측정하여 그 값이 관리자가 정한 최대 허용대역폭을 초과하면 그 초과분 패킷을 드랍(Drop)하는 기술이다. 이 기술은 두 가지 문제점을 가지고 있다. 첫 번째는 관리자가 최대 허용 대역폭을 정하기 위하여 일정 시간동안 망의 트래픽을 측정해야 하는 문제점이다. 두 번째는 DDoS 공격을 효과적으로 차단하기 어렵다는 것이다. DDoS 공격의 파괴력은 수 많은 공격 사이트들이 한 곳으로 집중하여 모아진 엄청난 트래픽 때문이다. 따라서 각각의 공격 사이트들이 발생 시키는 트래픽의 양은 그리 크지 않다. 즉, 공격 사이트와 정상 사이트에서 발생 시키는 트래픽의 차이가 크지 않는 DDoS 공격에서는 최대 허용 대역폭을 정하는 것이 매우 어려운 단점을 가지고 있다. 예를 들어 DDoS 트래픽을 차단하기 위하여 최대 허용 대역폭을 낮게 정하면 DDoS 트래픽 뿐만 아니라 정상 트래픽도 차단될 소지가 많은 문제점을 안고 있다.
위에서 설명한 바와 같이 종래의 기술들은 DoS 공격에서는 어느 정도의 효과가 있지만, DDoS 공격에서는 별 효과가 없으며, 또한 DDoS 공격을 차단할 수 있다고 해도 정상 트래픽을 보호하지 못하는 문제점을 안고 있다.
본 발명은 상술한 결점을 해결하기 위하여 안출한 것으로, DoS 공격 뿐만 아니라 DDoS 공격으로부터 정상 사용자의 트래픽을 보호하는 방법 및 그 장치를 제공하는 데 그 목적이 있다.
이와 같은 목적을 달성하기 위한 본 발명은, 망 접속 장치와 보호할 망 사이에 접속되어 DoS와 DDoS 공격으로부터 정상 트래픽을 보호하는 장치에 있어서, 우선순위 높은 큐; 우선순위 낮은 큐; 특정 패킷이 속하는 특정 STT의 서비스 큐 정보를 저장하고 있는 큐 정보 테이블; 제공되는 STT의 부하와 우선순위 높은 큐의 부하를 기반으로 상기 큐 정보 테이블을 갱신하는 큐 매핑기; 상기 망 접속 장치로부터 패킷을 수신하면 상기 큐 정보 테이블로부터 상기 수신된 패킷이 속하는 STT의 서비스 큐를 검색하여, 그 결과에 따라서 상기 우선순위 높은 큐 및 상기 우선순위 낮은 큐로 상기 수신된 패킷을 선택적으로 전달하고, 상기 수신된 패킷에 대한 정보를 상기 큐 매핑기로 제공하는 패킷 분류기; 및 상기 우선순위 높은 큐와 상기 우선순위 낮은 큐의 출력을 버퍼링하여 상기 보호할 망으로 제공하는 버퍼를 포함하는 것을 특징으로 한다.
도 1은 종래 페어-큐잉의 기본 알고리즘을 나타낸 도면,
도 2는 종래 레이트-리미트의 기본 알고리즘을 나타낸 도면,
도 3은 전형적인 분산 서비스 거부 공격 모델링을 나타낸 도면,
도 4는 본 발명에서 제안하는 근원지 기반 트래픽 트렁크 개념을 적용했을 때의 분산 서비스 거부 공격 모델링을 나타낸 도면,
도 5는 본 발명에 따른 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 장치의 일 실시예를 나타낸 블록도,
도 6은 도 5에 도시된 패킷 분류기의 기본 알고리즘을 단계별로 나타낸 순서도,
도 7은 도 5에 도시된 큐 매핑기의 기본 알고리즘을 단계별로 나타낸 순서도,
도 8a는 도 7에 나타낸 큐 매핑기의 기본 알고리즘 중에서 패킷 정보 수신 단계와 수신된 패킷에 해당되는 근원지 기반의 트래픽 트렁크의 평균 부하 계산 단계에 대한 상세 알고리즘을 단계별로 나타낸 순서도,
도 8b는 도 7에 나타낸 큐 매핑기의 기본 알고리즘 중에서 근원지 기반의 트래픽 트렁크의 부하값에 기반하여 근원지 기반의 트래픽 트렁크 서비스 큐를 재 설정하는 단계에 대한 알고리즘을 단계별로 나타낸 순서도,
도 8c는 도 7에 나타낸 큐 매핑기의 기본 알고리즘 중에서 우선순위가 높은 큐의 평균 부하를 계산하는 단계의 알고리즘을 단계별로 나타낸 순서도,
도 8d는 도 7에 나타낸 큐 매핑기의 기본 알고리즘 중에서 우선순위 높은 큐의 부하값에 기반하여 근원지 기반의 트래픽 트렁크의 서비스 큐를 재 설정하는 단계의 알고리즘을 단계별로 나타낸 순서도,
도 9a는 서비스 거부와 분산 서비스 거부를 이용한 웹 서버 공격에서 종래의 페어-큐잉을 사용했을 때의 시뮬레이션 결과를 나타낸 도면,
도 9b는 서비스 거부와 분산 서비스 거부를 이용한 웹 서버 공격에서 본 발명에 따른 트래픽 제어 기술을 사용했을 때의 시뮬레이션 결과를 나타낸 도면.
<도면의 주요부분에 대한 부호의 설명>
501 : 정상 트래픽 보호 장치
502 : 큐 정보 테이블 503 : 큐 매핑기
504 : 패킷 분류기 505 : 우선순위 높은 큐
506 : 우선순위 낮은 큐 507 : 버퍼
508 : 망 접속 장치 509 : 망
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시예를 상세히 설명하면 다음과 같다.
DoS및 DDoS 트래픽을 플로우 단위로 처리하는 것은 성능, 부하, 공격 탐지의 정확도 측면에서 많은 단점이 있다. 본 발명에서는 근원지 기반의 트래픽 트렁크(Source-based Traffic Trunk, 이하 STT라 칭함) 단위로 DoS와 DDoS 트래픽을 처리한다. 여기서, STT란 근원지의 네트워크 주소가 같은 플로우들의 집합을 말한다. 예로, 32bit IP 주소중 24bit로 STT를 만든다고 가정할 때, 168.188.44.0부터 168.188.44.255인 근원지 주소를 사용하는 모든 패킷은 168.188.44인 STT에 속하게 된다.
도 3은 전형적인 DDoS 공격 모델링을 나타낸 도면이고, 도 4는 본 발명에서 제안하는 STT 개념을 적용했을 때의 DDoS 공격 모델링을 나타낸 도면이다.
DDoS 공격은 그 근원지가 전체 망에 고루 퍼져 있는 것이 아니라 보통 일부 망에 집중되어 있다. 예로, 해커가 전세계 모든 망에 있는 시스템을 골고루 해킹하여 DDoS 공격 소프트웨어를 설치하는 것은 거의 불가능하며, 보통 일부 망만 해킹을 하고 있다. 또한 바이러스 예로, 님다 바이러스를 이용하여 불 특정 시스템에 침투하여 DDoS 공격을 실행하는 경우에서도 안전한 망 즉, 방화벽, 침입 탐지 시스템, 바이러스 치료 응용 등이 설치된 망에 침투하여 일정 시간 잠복하는 것은 매우 어려우며, 그래서 보통 안전하지 못한 망에서 잠복하고 있다. DDoS의 형태인 사이버 시위도 마찬가지로 보통 일부 집단 즉, 일부 망에서 수행되고 있다.
따라서 STT 방식은 플로우 방식보다 트래픽이 정상 트래픽인지 아닌지를 더 간단하면서도 더 정확하게 구분할 수 있다.
도 5는 본 발명에 따른 DoS와 DDoS 공격으로부터 정상 트래픽을 보호하는 장치의 일 실시예를 나타낸 블록도로, 정상 트래픽 보호 장치(501)는 망 접속 장치(508) 및 보호할 망(또는 보호할 서버)(509) 사이에 접속된다. 정상 트래픽 보호 장치(501)는 큐 정보 테이블(502), 큐 매핑기(503), 패킷 분류기(504), 우선순위 높은 큐(505), 우선순위 낮은 큐(506), 및 버퍼(507)로 구성된다.
동 도면에 있어서, 패킷 분류기(504)는 망 접속 장치(508)로부터 패킷을 수신하면 큐 정보 테이블(502)로부터 그 패킷이 속하는 STT의 서비스 큐를 검색하여, 그 결과에 따라서 우선순위 높은 큐(505) 또는 우선순위 낮은 큐(506)로 그 패킷을 전달한다. 그 패킷에 대한 정보 예로, 패킷 크기, 도착 시간, 및 그 패킷이 속하는 STT 정보를 가리키는 큐 정보 테이블(502)의 인덱스 등을 큐 매핑기(503)로 전달한다.
큐 매핑기(503)는 수신된 STT의 부하와 우선순위 높은 큐(505)의 부하를 기반으로 큐 정보 테이블(502)을 갱신하는 역할을 한다. 큐 정보 테이블(502)은 STT 식별자(STT ID), 서비스 큐, 평균 부하, 최근의 부하계산한 시간, 및 수신된 총 패킷 크기를 최소한 포함하는 필드들로 구성되어 있다.
두 우선순위 높은 큐(505)와 우선순위 낮은 큐(506)가 견딜 수 있는 최대 부하는 보호할 망(509) 또는 서버가 허용할 수 있는 최대 부하로 설정한다. 예로, 보호할 시스템이 허용할 수 있는 최대 부하가 100이라면 두 우선순위 높은 큐(505)와 우선순위 낮은 큐(506)가 견딜 수 있는 총 부하의 합은 100으로 설정되어야 한다. 우선순위 높은 큐(505)와 우선순위 낮은 큐(506) 모두에 패킷이 있다면, 우선순위 높은 큐(505)에 있는 패킷이 먼저 서비스된다.
버퍼(507)는 우선순위 높은 큐(505)와 우선순위 낮은 큐(506)의 출력을 버퍼링하여 보호할 망(509)으로 제공한다.
도 6은 도 5에 도시된 패킷 분류기(504)의 기본 알고리즘을 단계별로 나타낸 순서도이다.
먼저, 패킷 분류기(504)는 망 접속 장치(508)로부터 패킷을 수신한다(단계 601). 패킷 분류기(504)는 수신한 패킷의 근원지 IP 주소를 가지고 STT 식별자를 알아낸다(단계 602). 패킷 분류기(504)는 큐 정보 테이블(502)로부터 알아낸 STT 식별자에 해당되는 서비스 큐를 검색한다(단계 603). 패킷 분류기(504)는 검색 결과 값에 따라서 우선순위 높은 큐(505) 및 우선순위 낮은 큐(506)에 수신한 패킷을선택적으로 전달한다(단계 604, 605, 606). 패킷 분류기(504)는 큐 매핑기(503)로 패킷 정보를 전달한다(단계 607).
도 7은 도 5에 도시된 큐 매핑기(503)의 기본 알고리즘을 단계별로 나타낸 순서도이다.
먼저, 큐 매핑기(503)는 패킷 분류기(504)로부터 패킷 정보를 수신한다(단계 702). 큐 매핑기(503)는 수신한 패킷에 해당되는 STT의 평균 부하를 계산한다(단계 703). 큐 매핑기(503)는 계산한 STT의 평균 부하 값에 기반하여 STT의 서비스 큐를 재 설정한다(단계 704). 큐 매핑기(503)는 우선순위 높은 큐(505)의 평균 부하를 계산한다(단계 705). 큐 매핑기(503)는 계산한 우선순위 높은 큐(505)의 평균 부하 값에 기반하여 일부 STT의 서비스 큐를 재 설정한다(단계 706). 큐 매핑기(503)는 변경된 평균 부하 값과 서비스 큐 등의 변경된 STT 정보를 큐 정보 테이블(502)에 저장한다(단계 707).
도 8a는 도 7에 나타낸 큐 매핑기(503)의 기본 알고리즘 중에서 패킷 정보 수신 단계(702)와 수신된 패킷에 해당되는 STT의 평균 부하 계산 단계(703)에 대한 상세 알고리즘을 단계별로 나타낸 순서도이다.
먼저, 큐 매핑기(503)는 패킷 분류기(504)로부터 패킷 크기, 도착 시간, 큐 정보 테이블 인덱스, 해당 STT 등의 패킷 정보를 수신한다(단계 802). 큐 매핑기(503)는 수신된 패킷 정보로부터 수신된 총 패킷 크기를 계산한다(단계 803). 이때, "총 패킷 크기 = 총 패킷 크기 + 수신된 패킷의 크기"이다. 큐 매핑기(503)는 평균 부하를 재 계산할 시간인지 여부를 판단한다(단계 804). 큐 매핑기(503)는 단계 804의 판단 결과, 평균 부하를 재 계산할 시간이면 이전 평균 부하값과 총 패킷 크기에 기반한 현재 평균 부하값을 고려하여 새로운 평균 부하값을 계산한다(단계 805). 이때, "평균 부하값 = (이전 평균 부하값 * α + 총 패킷 크기)/((패킷 도착 시간 - 최근 부하 계산 시간) * (1-α)), 단 0<α<1)"이다. 여기서, 부하를 계산하는 시간 주기는 사용자에 의해서 미리 정해진다. 큐 매핑기(503)는 단계 804의 판단 결과, 평균 부하를 재 계산할 시간이 아니거나 단계 805를 수행한 후 STT의 부하값에 의한 STT 서비스 큐 결정 알고리즘을 수행한다(단계 806).
도 8b는 도 7에 나타낸 큐 매핑기(503)의 기본 알고리즘 중에서 STT의 부하값에 기반하여 STT 서비스 큐를 재 설정하는 단계(704)에 대한 알고리즘을 단계별로 나타낸 순서도이다. 도 8b는 패킷이 도착할 때마다 실행되는 알고리즘으로써 그 목적은 평균 부하값이 상대적으로 높은 STT는 우선순위 낮은 큐(506)를 사용하게 만드는 것이며, 반대로 평균 부하값이 상대적으로 낮은 STT는 우선순위 높은 큐(505)를 사용하게 만드는 것이다. 즉, DoS 및 DDoS 트래픽들이 우선순위 낮은 큐를 사용하게 만드는 것이다.
먼저, 큐 매핑기(503)는 우선 순위 높은 큐(505)가 폭주 상태인지 여부를 판단한다(단계 808). 큐 매핑기(503)는 단계 808의 판단 결과, 우선 순위 높은 큐(505)가 폭주 상태일 경우 수신된 패킷의 STT 부하가 허용 부하 보다 큰지 여부를 판단한다(단계 809). 큐 매핑기(503)는 단계 809의 판단 결과, 수신된 패킷의 STT 부하가 허용 부하 보다 크면 수신된 패킷의 STT의 서비스 큐를 우선순위 낮은 큐(506)로 설정한다(단계 810). 여기서, 허용 부하는 "우선순위 높은 큐(505)의 평균부하 / 부하 재 계산 시간 간격동안 우선순위 높은 큐(505)를 사용한 STT의 수"이다. 이 알고리즘에 의하여 DDoS 트래픽일 가능성이 있는 STT들은 우선순위 낮은 큐(506)로 재빠르게 몰리게 된다. 큐 매핑기(503)는 수신된 패킷에 해당하는 STT의 서비스 큐가 우선순위 높은 큐인지 우선 순위 낮은 큐인지를 판단한다(단계 811). 큐 매핑기(503)는 단계 811의 판단 결과, 수신된 패킷에 해당하는 STT의 서비스 큐가 우선순위 높은 큐이면 큐 정보 테이블(502)에서 우선 순위 낮은 큐를 사용하는 STT 하나를 임으로 선택한다(단계 812). 큐 매핑기(503)는 수신된 패킷에 해당하는 STT의 평균 부하와 임의로 선택된 STT의 평균 부하를 비교한다(단계 813). 큐 매핑기(503)는 단계 813의 비교 결과, 수신된 패킷에 해당하는 STT의 평균 부하가 임의로 선택된 STT의 평균 부하보다 클 경우 부하가 낮은 STT는 그 서비스 큐를 우선순위 높은 큐로 설정하고 부하가 높은 STT는 그 서비스 큐를 우선순위 낮은 큐로 설정한다(단계 814). 큐 매핑기(503)는 단계 811의 판단 결과, 수신된 패킷에 해당하는 STT의 서비스 큐가 우선순위 낮은 큐일 경우에는 큐 정보 테이블(502)에서 우선 순위 높은 큐를 사용하는 STT 하나를 임으로 선택한다(단계 815). 큐 매핑기(503)는 수신된 패킷에 해당하는 STT의 평균 부하와 임의로 선택된 STT의 평균 부하를 비교한다(단계 816). 큐 매핑기(503)는 단계 816의 비교 결과, 수신된 패킷에 해당하는 STT의 평균 부하가 임의로 선택된 STT의 평균 부하보다 작을 경우 부하가 낮은 STT는 그 서비스 큐를 우선순위 높은 큐로 설정하고 부하가 높은 STT는 그 서비스 큐를 우선순위 낮은 큐로 설정한다(단계 817). 이 알고리즘에 의해서 정상 트래픽은 우선순위 높은 큐를 사용하게 되고, DDoS 트래픽은 우선순위 낮은 큐를 사용하게 된다.
도 8c는 도 7에 나타낸 큐 매핑기(503)의 기본 알고리즘 중에서 우선순위 높은 큐(505)의 평균 부하를 계산하는 단계(705)의 알고리즘을 단계별로 나타낸 순서도이다. 이 알고리즘은 수신된 패킷의 서비스 큐가 우선순위 높은 큐일 때만 실행된다.
먼저, 큐 매핑기(503)는 STT의 부하값에 의한 STT 서비스 큐를 결정한다(단계 819). 큐 매핑기(503)는 수신된 패킷이 사용한 서비스 큐가 우선순위 높은 큐인지 우선순위 낮은 큐인지를 판단한다(단계 820). 큐 매핑기(503)는 단계 820의 판단 결과, 수신된 패킷이 사용한 서비스 큐가 우선순위 높은 큐일 경우 우선순위 높은 큐로 서비스하는 총 패킷 크기를 계산한다(단계 821). 큐 매핑기(503)는 부하 재 계산할 시간인지 여부를 판단한다(단계 822). 큐 매핑기(503)는 단계 822의 판단 결과, 부하 재 계산할 시간이면 우선순위 높은 큐의 평균 부하를 계산한다(단계 823). 큐 매핑기(503)는 우선순위 높은 큐의 부하값에 의한 일부 STT의 서비스 큐를 재 설정한다(단계 824). 큐 매핑기(503)는 변경된 STT 정보를 큐 정보 테이블(502)에 저장한다(단계 825).
도 8d는 도 7에 나타낸 큐 매핑기(503)의 기본 알고리즘 중에서 우선순위 높은 큐의 부하값에 기반하여 STT의 서비스 큐를 재 설정하는 단계(706)의 알고리즘을 단계별로 나타낸 순서도이다. 이 알고리즘은 우선순위 높은 큐의 평균 부하가 계산될 때 마다 실행된다.
먼저, 큐 매핑기(503)는 우선순위 높은 큐의 평균 부하를 계산한다(단계826). 큐 매핑기(503)는 우선순위 높은 큐의 부하가 폭주 상태, 한가 상태, 및 안정 상태 중 어느 상태인지를 판단한다(단계 827). 큐 매핑기(503)는 단계 827의 판단 결과, 우선순위 높은 큐의 부하가 폭주 상태일 경우에는 우선순위 높은 큐를 사용하는 STT들 중 임으로 하나를 선택하여 그 STT가 우선순위 낮은 큐를 사용하도록 설정한다(단계 828, 829). 반면, 큐 매핑기(503)는 단계 827의 판단 결과, 우선순위 높은 큐의 부하가 한가 상태일때는 그 우선순위 낮은 큐를 사용하는 STT들 중 임으로 하나를 선택하여 그 STT가 우선순위 높은 큐를 사용하도록 설정한다(단계 830, 831). 큐 매핑기(503)는 단계 827의 판단 결과, 우선순위 높은 큐의 부하가 안정 상태이거나 단계 829, 831을 수행한 후에는 변경된 STT 정보를 큐 정보 테이블(502)에 저장한다(단계 832). 이 알고리즘에 의하여 우선 순위 높은 큐는 일정한 부하를 유지할 수 있으며, 따라서 우선 순위 높은 큐를 사용하는 STT들 즉, 정상 트래픽은 좋은 서비스 품질을 보장받을 수 있다.
도 9a는 DoS와 DDoS를 이용한 웹 서버 공격에서 종래의 페어-큐잉을 사용했을 때의 시뮬레이션 결과를 나타낸 도면이고, 도 9b는 DoS와 DDoS를 이용한 웹 서버 공격에서 본 발명에 따른 트래픽 제어 기술을 사용했을 때의 시뮬레이션 결과를 나타낸 도면이다.
종래에는 정상 트래픽이 도 9a와 같이 두 DoS와 DDoS 공격에 ??은 영향을 받지만, 본 발명을 적용시켰을 때는 정상 트래픽이 도 9b와 같이 두 DoS와 DDoS 공격에 거의 영향을 받지 않는다.
이상에서 설명한 바와 같이, 본 발명은 STT 단위로 트래픽을 구분하기 때문에, 플로우 방식보다 장치의 성능에 큰 영향을 주지 않으면서도 더 정확하게 부하를 측정할 수 있다. 특정 STT가 DDoS 트래픽인지 정상 트래픽인지의 판단은 그 STT에 속하는 패킷이 수신될 때마다 행해지기 때문에, DDoS 트래픽은 도 8b와 같이 매우 빠르게 우선순위 낮은 큐로 설정된다. DDoS 공격으로 트래픽이 급격히 증가하더라도 정상 트래픽이 사용하는 우선순위 높은 큐의 부하를 일정하게 유지시키기 때문에, 정상 트래픽의 소실을 도 8b 및 도 8d와 같이 최소화 시킬 수 있다. 특정 시스템이 많은 트래픽을 생성하더라도 망 자원에 여유가 있다면, 그 트래픽은 차단되지 않는다.

Claims (15)

  1. 망 접속 장치와 보호할 망 사이에 접속되어 DoS와 DDoS 공격으로부터 정상 트래픽을 보호하는 장치에 있어서,
    우선순위 높은 큐;
    우선순위 낮은 큐;
    특정 패킷이 속하는 특정 STT의 서비스 큐 정보를 저장하고 있는 큐 정보 테이블;
    제공되는 STT의 부하와 우선순위 높은 큐의 부하를 기반으로 상기 큐 정보 테이블을 갱신하는 큐 매핑기;
    상기 망 접속 장치로부터 패킷을 수신하면 상기 큐 정보 테이블로부터 상기 수신된 패킷이 속하는 STT의 서비스 큐를 검색하여, 그 결과에 따라서 상기 우선순위 높은 큐 및 상기 우선순위 낮은 큐로 상기 수신된 패킷을 선택적으로 전달하고, 상기 수신된 패킷에 대한 정보를 상기 큐 매핑기로 제공하는 패킷 분류기; 및
    상기 우선순위 높은 큐와 상기 우선순위 낮은 큐의 출력을 버퍼링하여 상기 보호할 망으로 제공하는 버퍼를 포함하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 장치.
  2. 제 1 항에 있어서, 상기 보호할 망은 서버로 구성되는 것을 특징으로 하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 장치.
  3. 제 1 항에 있어서, 상기 수신된 패킷에 대한 정보는 패킷 크기, 도착 시간, 및 그 패킷이 속하는 STT 정보를 가리키는 상기 큐 정보 테이블의 인덱스를 포함하는 것을 특징으로 하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 장치.
  4. 제 1 항에 있어서, 상기 큐 정보 테이블은 STT 식별자, 서비스 큐, 평균 부하, 최근의 부하계산한 시간, 및 수신된 총 패킷 크기를 최소한 포함하는 필드들로 구성되어 있는 것을 특징으로 하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 장치.
  5. 제 1 항에 있어서, 상기 우선순위 높은 큐와 상기 우선순위 낮은 큐가 견딜 수 있는 최대 부하는 상기 보호할 망이 허용할 수 있는 최대 부하로 설정되는 것을 특징으로 하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 장치.
  6. 제 5 항에 있어서, 상기 보호할 망은 서버로 구성되는 것을 특징으로 하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 장치.
  7. 특정 패킷이 속하는 특정 STT의 서비스 큐 정보를 저장하고 있는 큐 정보 테이블, 제공되는 STT의 부하와 기설정된 우선순위 높은 큐의 부하를 기반으로 상기 큐 정보 테이블을 갱신하는 큐 매핑기, 및 기설정된 망 접속 장치로부터 패킷을 수신하면 상기 큐 정보 테이블로부터 상기 수신된 패킷이 속하는 STT의 서비스 큐를 검색하여 그 결과에 따라서 상기 우선순위 높은 큐 및 기설정된 우선순위 낮은 큐로 상기 수신된 패킷을 선택적으로 전달하고 상기 수신된 패킷에 대한 정보를 상기 큐 매핑기로 제공하는 패킷 분류기를 포함하고 망 접속 장치와 보호할 망 사이에 접속되어, DoS와 DDoS 공격으로부터 정상 트래픽을 보호하는 장치에서 정상 트래픽을 보호하는 방법에 있어서,
    상기 패킷 분류기는 상기 망 접속 장치로부터 수신한 패킷의 근원지 IP 주소를 가지고 STT 식별자를 알아내는 제 1 단계;
    상기 큐 정보 테이블을 검색해서 상기 알아낸 STT 식별자에 해당되는 서비스 큐를 검색하여 높은 우선 순위 큐인지 낮은 우선 순위 큐인지를 판단하는 제 2 단계;
    상기 제 2 단계의 판단 결과, 높은 우선 순위 큐이면 상기 수신한 패킷을 상기 우선순위 높은 큐로 전달하는 제 3 단계;
    상기 제 2 단계의 판단 결과, 낮은 우선 순위 큐이면 상기 수신한 패킷을 상기 우선순위 낮은 큐로 전달하는 제 4 단계; 및
    상기 수신한 패킷 정보를 상기 큐 매핑기로 전달하는 제 5 단계를 수행하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 방법.
  8. 제 7 항에 있어서, 상기 보호할 망은 서버로 구성되는 것을 특징으로 하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 방법.
  9. 제 7 항에 있어서,
    상기 큐 매핑기는 상기 패킷 분류기로부터 전달받은 패킷 정보에 해당되는 STT의 평균 부하를 계산하는 제 71 단계;
    상기 계산한 STT의 평균 부하 값에 기반하여 STT의 서비스 큐를 재 설정하는 제 72 단계;
    상기 우선순위 높은 큐의 평균 부하를 계산하는 제 73 단계;
    상기 계산한 우선순위 높은 큐의 평균 부하 값에 기반하여 일부 STT의 서비스 큐를 재 설정하는 제 74 단계; 및
    상기 재 설정된 STT 정보를 상기 큐 정보 테이블에 저장하는 제 75 단계를 수행하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 방법.
  10. 제 9 항에 있어서, 상기 변경된 STT 정보는 변경된 평균 부하 값과 서비스 큐인 것을 특징으로 하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 방법.
  11. 제 9 항에 있어서,
    상기 제 71 단계는 상기 패킷 분류기로부터 전달받은 패킷 정보로부터 수신된 총 패킷 크기를 계산하는 제 91 단계;
    평균 부하를 재 계산할 시간인지 여부를 판단하는 제 92 단계;
    상기 제 92 단계의 판단 결과, 평균 부하를 재 계산할 시간이면 이전 평균 부하값과 상기 총 패킷 크기에 기반한 현재 평균 부하값을 고려하여 새로운 평균 부하값을 계산하는 제 93 단계; 및
    상기 제 92 단계의 판단 결과, 평균 부하를 재 계산할 시간이 아니거나 상기 제 93 단계를 수행한 후 STT의 부하값에 의한 STT 서비스 큐 결정 알고리즘을 수행하는 제 94 단계를 포함하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 방법.
  12. 제 11 항에 있어서, 상기 패킷 정보는 패킷 크기, 도착 시간, 큐 정보 테이블 인덱스, 해당 STT를 포함하는 것을 특징으로 하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 방법.
  13. 제 9 항에 있어서,
    상기 제 72 단계는 상기 우선 순위 높은 큐가 폭주 상태일 경우 수신된 패킷의 STT 부하가 허용 부하 보다 크면 수신된 패킷의 STT의 서비스 큐를 상기 우선순위 낮은 큐로 설정하는 제 810 단계;
    수신된 패킷에 해당하는 STT의 서비스 큐가 우선순위 높은 큐이면 상기 큐정보 테이블에서 우선 순위 낮은 큐를 사용하는 STT 하나를 임으로 선택하는 제 811 단계;
    수신된 패킷에 해당하는 STT의 평균 부하가 상기 임의로 선택된 STT의 평균 부하보다 클 경우 부하가 낮은 STT는 그 서비스 큐를 우선순위 높은 큐로 설정하고 부하가 높은 STT는 그 서비스 큐를 우선순위 낮은 큐로 설정하는 제 812 단계;
    수신된 패킷에 해당하는 STT의 서비스 큐가 우선순위 낮은 큐일 경우에는 상기 큐 정보 테이블에서 우선 순위 높은 큐를 사용하는 STT 하나를 임으로 선택하는 제 813 단계; 및
    수신된 패킷에 해당하는 STT의 평균 부하가 상기 임의로 선택된 STT의 평균 부하보다 작을 경우 부하가 낮은 STT는 그 서비스 큐를 우선순위 높은 큐로 설정하고 부하가 높은 STT는 그 서비스 큐를 우선순위 낮은 큐로 설정하는 제 814 단계를 포함하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 방법.
  14. 제 9 항에 있어서,
    상기 제 73 단계는 STT의 부하값에 의한 STT 서비스 큐를 결정하는 제 821 단계;
    수신된 패킷이 사용한 서비스 큐가 우선순위 높은 큐일 경우 우선순위 높은 큐로 서비스하는 총 패킷 크기를 계산하는 제 822 단계;
    부하 재 계산할 시간이면 우선순위 높은 큐의 평균 부하를 계산하는 제 823단계;
    우선순위 높은 큐의 부하값에 의한 일부 STT의 서비스 큐를 재 설정하는 제 824 단계; 및
    변경된 STT 정보를 상기 큐 정보 테이블에 저장하는 제 825 단계를 포함하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 방법.
  15. 제 9 항에 있어서,
    상기 제 74 단계는 우선순위 높은 큐의 평균 부하를 계산하는 제 826 단계;
    우선순위 높은 큐의 부하가 폭주 상태일 경우에는 우선순위 높은 큐를 사용하는 STT들 중 임으로 하나를 선택하여 그 STT가 우선순위 낮은 큐를 사용하도록 설정하는 제 827 단계;
    우선순위 높은 큐의 부하가 한가 상태일때는 그 우선순위 낮은 큐를 사용하는 STT들 중 임으로 하나를 선택하여 그 STT가 우선순위 높은 큐를 사용하도록 설정하는 제 828 단계; 및
    우선순위 높은 큐의 부하가 안정 상태이거나 제 827, 828 단계를 수행한 후에는 변경된 STT 정보를 상기 큐 정보 테이블에 저장하는 제 829 단계를 포함하는 서비스 거부와 분산 서비스 거부 공격으로부터 정상 트래픽을 보호하는 방법.
KR10-2002-0071890A 2002-11-19 2002-11-19 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치 KR100481614B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR10-2002-0071890A KR100481614B1 (ko) 2002-11-19 2002-11-19 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치
AU2003218813A AU2003218813A1 (en) 2002-11-19 2003-03-28 Method and apparatus for protecting legitimate traffic from dos and ddos attacks
PCT/KR2003/000628 WO2004047383A1 (en) 2002-11-19 2003-03-28 Method and apparatus for protecting legitimate traffic from dos and ddos attacks
US10/535,455 US7882556B2 (en) 2002-11-19 2003-03-28 Method and apparatus for protecting legitimate traffic from DoS and DDoS attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0071890A KR100481614B1 (ko) 2002-11-19 2002-11-19 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치

Publications (2)

Publication Number Publication Date
KR20040044209A true KR20040044209A (ko) 2004-05-28
KR100481614B1 KR100481614B1 (ko) 2005-04-08

Family

ID=32322251

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0071890A KR100481614B1 (ko) 2002-11-19 2002-11-19 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치

Country Status (4)

Country Link
US (1) US7882556B2 (ko)
KR (1) KR100481614B1 (ko)
AU (1) AU2003218813A1 (ko)
WO (1) WO2004047383A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7680062B2 (en) 2004-12-02 2010-03-16 Electronics And Telecommunications Research Institute Apparatus and method for controlling abnormal traffic
KR101028101B1 (ko) * 2009-03-03 2011-04-08 시큐아이닷컴 주식회사 분산 서비스 거부 공격 방어 보안장치 및 그 방법

Families Citing this family (111)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7464404B2 (en) * 2003-05-20 2008-12-09 International Business Machines Corporation Method of responding to a truncated secure session attack
US7308716B2 (en) * 2003-05-20 2007-12-11 International Business Machines Corporation Applying blocking measures progressively to malicious network traffic
CN100370757C (zh) * 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
US8176126B2 (en) 2004-08-26 2012-05-08 International Business Machines Corporation System, method and program to limit rate of transferring messages from suspected spammers
US7640591B1 (en) * 2005-04-22 2009-12-29 Sun Microsystems, Inc. Method and apparatus for limiting denial of service attack by limiting traffic for hosts
US7499457B1 (en) 2005-04-22 2009-03-03 Sun Microsystems, Inc. Method and apparatus for enforcing packet destination specific priority using threads
US7739736B1 (en) 2005-04-22 2010-06-15 Oracle America, Inc. Method and apparatus for dynamically isolating affected services under denial of service attack
US7471689B1 (en) 2005-04-22 2008-12-30 Sun Microsystems, Inc. Method and apparatus for managing and accounting for bandwidth utilization within a computing system
US7623538B1 (en) 2005-04-22 2009-11-24 Sun Microsystems, Inc. Hardware-based network interface per-ring resource accounting
US7593404B1 (en) 2005-04-22 2009-09-22 Sun Microsystems, Inc. Dynamic hardware classification engine updating for a network interface
US7782870B1 (en) 2005-04-22 2010-08-24 Oracle America, Inc. Method and apparatus for consolidating available computing resources on different computing devices
US7675920B1 (en) 2005-04-22 2010-03-09 Sun Microsystems, Inc. Method and apparatus for processing network traffic associated with specific protocols
US7697434B1 (en) * 2005-04-22 2010-04-13 Sun Microsystems, Inc. Method and apparatus for enforcing resource utilization of a container
US7627899B1 (en) * 2005-04-22 2009-12-01 Sun Microsystems, Inc. Method and apparatus for improving user experience for legitimate traffic of a service impacted by denial of service attack
US7733890B1 (en) 2005-04-22 2010-06-08 Oracle America, Inc. Network interface card resource mapping to virtual network interface cards
US7607168B1 (en) 2005-04-22 2009-10-20 Sun Microsystems, Inc. Network interface decryption and classification technique
US7591011B1 (en) 2005-04-22 2009-09-15 Sun Microsystems, Inc. Assigning higher priority to transactions based on subscription level
US7499463B1 (en) 2005-04-22 2009-03-03 Sun Microsystems, Inc. Method and apparatus for enforcing bandwidth utilization of a virtual serialization queue
JP4557815B2 (ja) * 2005-06-13 2010-10-06 富士通株式会社 中継装置および中継システム
US8006285B1 (en) 2005-06-13 2011-08-23 Oracle America, Inc. Dynamic defense of network attacks
US7746783B1 (en) * 2005-09-14 2010-06-29 Oracle America, Inc. Method and apparatus for monitoring packets at high data rates
US8635284B1 (en) 2005-10-21 2014-01-21 Oracle Amerca, Inc. Method and apparatus for defending against denial of service attacks
US7760722B1 (en) 2005-10-21 2010-07-20 Oracle America, Inc. Router based defense against denial of service attacks using dynamic feedback from attacked host
US7515596B2 (en) * 2006-06-30 2009-04-07 Sun Microsystems, Inc. Full data link bypass
US7792140B2 (en) * 2006-06-30 2010-09-07 Oracle America Inc. Reflecting the bandwidth assigned to a virtual network interface card through its link speed
US7684423B2 (en) * 2006-06-30 2010-03-23 Sun Microsystems, Inc. System and method for virtual network interface cards based on internet protocol addresses
US7672299B2 (en) * 2006-06-30 2010-03-02 Sun Microsystems, Inc. Network interface card virtualization based on hardware resources and software rings
US7742474B2 (en) * 2006-06-30 2010-06-22 Oracle America, Inc. Virtual network interface cards with VLAN functionality
US7634608B2 (en) * 2006-06-30 2009-12-15 Sun Microsystems, Inc. Bridging network components
US7613132B2 (en) * 2006-06-30 2009-11-03 Sun Microsystems, Inc. Method and system for controlling virtual machine bandwidth
US7715416B2 (en) * 2006-06-30 2010-05-11 The Open Computing Trust 1 Generalized serialization queue framework for protocol processing
US7630368B2 (en) * 2006-06-30 2009-12-08 Sun Microsystems, Inc. Virtual network interface card loopback fastpath
US7613198B2 (en) * 2006-06-30 2009-11-03 Sun Microsystems, Inc. Method and apparatus for dynamic assignment of network interface card resources
US7643482B2 (en) * 2006-06-30 2010-01-05 Sun Microsystems, Inc. System and method for virtual switching in a host
US7966401B2 (en) * 2006-06-30 2011-06-21 Oracle America, Inc. Method and apparatus for containing a denial of service attack using hardware resources on a network interface card
US7788411B2 (en) * 2006-07-20 2010-08-31 Oracle America, Inc. Method and system for automatically reflecting hardware resource allocation modifications
US8630296B2 (en) * 2006-07-20 2014-01-14 Oracle America, Inc. Shared and separate network stack instances
US8050266B2 (en) * 2006-07-20 2011-11-01 Oracle America, Inc. Low impact network debugging
US8392565B2 (en) * 2006-07-20 2013-03-05 Oracle America, Inc. Network memory pools for packet destinations and virtual machines
US8713202B2 (en) * 2006-07-20 2014-04-29 Oracle America, Inc. Method and system for network configuration for virtual machines
US8036127B2 (en) 2006-07-20 2011-10-11 Oracle America, Inc. Notifying network applications of receive overflow conditions
US7912926B2 (en) * 2006-07-20 2011-03-22 Oracle America, Inc. Method and system for network configuration for containers
US7885257B2 (en) * 2006-07-20 2011-02-08 Oracle America, Inc. Multiple virtual network stack instances using virtual network interface cards
US7894453B2 (en) * 2006-07-20 2011-02-22 Oracle America, Inc. Multiple virtual network stack instances
US7836212B2 (en) * 2006-07-20 2010-11-16 Oracle America, Inc. Reflecting bandwidth and priority in network attached storage I/O
US8095675B2 (en) * 2006-07-20 2012-01-10 Oracle America, Inc. Priority and bandwidth specification at mount time of NAS device volume
US8005022B2 (en) * 2006-07-20 2011-08-23 Oracle America, Inc. Host operating system bypass for packets destined for a virtual machine
US7848331B2 (en) * 2006-07-20 2010-12-07 Oracle America, Inc. Multi-level packet classification
US7733795B2 (en) * 2006-11-28 2010-06-08 Oracle America, Inc. Virtual network testing and deployment using network stack instances and containers
US7738457B2 (en) * 2006-12-20 2010-06-15 Oracle America, Inc. Method and system for virtual routing using containers
US8447880B2 (en) * 2006-12-20 2013-05-21 Oracle America, Inc. Network stack instance architecture with selection of transport layers
US8175271B2 (en) * 2007-03-30 2012-05-08 Oracle America, Inc. Method and system for security protocol partitioning and virtualization
US8194667B2 (en) * 2007-03-30 2012-06-05 Oracle America, Inc. Method and system for inheritance of network interface card capabilities
US8087066B2 (en) * 2007-04-12 2011-12-27 Oracle America, Inc. Method and system for securing a commercial grid network
US20080267177A1 (en) * 2007-04-24 2008-10-30 Sun Microsystems, Inc. Method and system for virtualization of packet encryption offload and onload
US8006297B2 (en) * 2007-04-25 2011-08-23 Oracle America, Inc. Method and system for combined security protocol and packet filter offload and onload
JP5102356B2 (ja) 2007-06-19 2012-12-19 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 電気通信システムにおける資源スケジューリングの方法とシステム
US7702799B2 (en) * 2007-06-28 2010-04-20 Oracle America, Inc. Method and system for securing a commercial grid network over non-trusted routes
US8458366B2 (en) * 2007-09-27 2013-06-04 Oracle America, Inc. Method and system for onloading network services
US7984123B2 (en) * 2007-12-10 2011-07-19 Oracle America, Inc. Method and system for reconfiguring a virtual network path
US7962587B2 (en) * 2007-12-10 2011-06-14 Oracle America, Inc. Method and system for enforcing resource constraints for virtual machines across migration
US7945647B2 (en) * 2007-12-10 2011-05-17 Oracle America, Inc. Method and system for creating a virtual network path
US8086739B2 (en) * 2007-12-10 2011-12-27 Oracle America, Inc. Method and system for monitoring virtual wires
US8095661B2 (en) * 2007-12-10 2012-01-10 Oracle America, Inc. Method and system for scaling applications on a blade chassis
US8370530B2 (en) * 2007-12-10 2013-02-05 Oracle America, Inc. Method and system for controlling network traffic in a blade chassis
US7965714B2 (en) * 2008-02-29 2011-06-21 Oracle America, Inc. Method and system for offloading network processing
US7970951B2 (en) * 2008-02-29 2011-06-28 Oracle America, Inc. Method and system for media-based data transfer
US8886838B2 (en) * 2008-02-29 2014-11-11 Oracle America, Inc. Method and system for transferring packets to a guest operating system
US7826359B2 (en) * 2008-03-24 2010-11-02 Oracle America, Inc. Method and system for load balancing using queued packet information
US7944923B2 (en) * 2008-03-24 2011-05-17 Oracle America, Inc. Method and system for classifying network traffic
US7801046B2 (en) * 2008-04-28 2010-09-21 Oracle America, Inc. Method and system for bandwidth control on a network interface card
US7751401B2 (en) * 2008-06-30 2010-07-06 Oracle America, Inc. Method and apparatus to provide virtual toe interface with fail-over
US8099615B2 (en) * 2008-06-30 2012-01-17 Oracle America, Inc. Method and system for power management in a virtual machine environment without disrupting network connectivity
US8406230B2 (en) * 2008-06-30 2013-03-26 Oracle America, Inc. Formerly Known As Sun Microsystems, Inc. Method and system for classifying packets in a network interface card and interface for performing the same
US7941539B2 (en) * 2008-06-30 2011-05-10 Oracle America, Inc. Method and system for creating a virtual router in a blade chassis to maintain connectivity
US8739179B2 (en) 2008-06-30 2014-05-27 Oracle America Inc. Method and system for low-overhead data transfer
KR100908404B1 (ko) * 2008-09-04 2009-07-20 (주)이스트소프트 분산서비스거부공격의 방어방법 및 방어시스템
KR101046597B1 (ko) * 2009-01-20 2011-07-06 국방과학연구소 네트워크 환경에서의 데이터 처리방법, 데이터 송수신장치 및 컴퓨터로 읽을 수 있는 기록매체
JP5201415B2 (ja) * 2009-03-05 2013-06-05 富士通株式会社 ログ情報発行装置、ログ情報発行方法およびプログラム
JP2010218462A (ja) * 2009-03-18 2010-09-30 Ricoh Co Ltd 情報処理装置、情報処理方法およびプログラム
US8321862B2 (en) * 2009-03-20 2012-11-27 Oracle America, Inc. System for migrating a virtual machine and resource usage data to a chosen target host based on a migration policy
US8116199B2 (en) * 2009-05-08 2012-02-14 Oracle America, Inc. Method and system for monitoring network communication
US8341505B2 (en) * 2009-05-08 2012-12-25 Oracle America, Inc. Enforcing network bandwidth partitioning for virtual execution environments with direct access to network hardware
US8174984B2 (en) * 2009-05-29 2012-05-08 Oracle America, Inc. Managing traffic on virtualized lanes between a network switch and a virtual machine
US8478853B2 (en) * 2009-05-29 2013-07-02 Oracle America, Inc. Handling of multiple MAC unicast addresses with virtual machines
US8194670B2 (en) * 2009-06-30 2012-06-05 Oracle America, Inc. Upper layer based dynamic hardware transmit descriptor reclaiming
US9059965B2 (en) * 2009-06-30 2015-06-16 Oracle America, Inc. Method and system for enforcing security policies on network traffic
US8254261B2 (en) * 2009-10-16 2012-08-28 Oracle America, Inc. Method and system for intra-host communication
US8260588B2 (en) * 2009-10-16 2012-09-04 Oracle America, Inc. Virtualizing complex network topologies
US8675644B2 (en) * 2009-10-16 2014-03-18 Oracle America, Inc. Enhanced virtual switch
US8726093B2 (en) 2010-06-30 2014-05-13 Oracle America, Inc. Method and system for maintaining direct hardware access in the event of network interface card failure
US8966622B2 (en) * 2010-12-29 2015-02-24 Amazon Technologies, Inc. Techniques for protecting against denial of service attacks near the source
US9858241B2 (en) 2013-11-05 2018-01-02 Oracle International Corporation System and method for supporting optimized buffer utilization for packet processing in a networking device
US8634415B2 (en) 2011-02-16 2014-01-21 Oracle International Corporation Method and system for routing network traffic for a blade server
WO2012115679A1 (en) * 2011-02-24 2012-08-30 The University Of Tulsa Network-based hyperspeed communication and defense
GB2494384B (en) * 2011-08-31 2013-07-24 Metaswitch Networks Ltd Handling potentially malicious communication activity
WO2013112606A1 (en) 2012-01-24 2013-08-01 Strebe Matthew Methods and apparatus for managing network traffic
US9210180B2 (en) 2012-04-18 2015-12-08 Radware Ltd. Techniques for separating the processing of clients' traffic to different zones in software defined networks
EP2661138A1 (en) 2012-05-04 2013-11-06 Panasonic Corporation Threshold-based and power-efficient scheduling request procedure
WO2014046974A2 (en) 2012-09-20 2014-03-27 Case Paul Sr Case secure computer architecture
US9602334B2 (en) 2013-01-22 2017-03-21 International Business Machines Corporation Independent network interfaces for virtual network environments
US9300591B2 (en) * 2013-01-28 2016-03-29 Schweitzer Engineering Laboratories, Inc. Network device
US9489327B2 (en) 2013-11-05 2016-11-08 Oracle International Corporation System and method for supporting an efficient packet processing model in a network environment
US9571377B2 (en) * 2014-12-11 2017-02-14 Oracle International Corporation Dynamic denial of service protection
CN106572107B (zh) * 2016-11-07 2019-08-09 北京科技大学 一种面向软件定义网络的DDoS攻击防御系统与方法
KR102088299B1 (ko) 2016-11-10 2020-04-23 한국전자통신연구원 분산 반사 서비스 거부 공격 탐지 장치 및 방법
US11038819B2 (en) * 2017-06-29 2021-06-15 Intel Corporation Technologies for extracting extrinsic entropy for workload distribution
KR102027438B1 (ko) 2017-10-12 2019-10-02 주식회사 윈스 Ddos 공격 차단 장치 및 방법
RU2684575C1 (ru) * 2018-05-14 2019-04-09 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ управления потоками данных распределенной информационной системы при ddos атаках
JP7494494B2 (ja) * 2020-03-09 2024-06-04 オムロン株式会社 通信制御機器および通信制御機器の制御方法
US11425099B1 (en) 2022-03-08 2022-08-23 Uab 360 It Managing data communication in a virtual private network

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7058974B1 (en) * 2000-06-21 2006-06-06 Netrake Corporation Method and apparatus for preventing denial of service attacks
JP2004507978A (ja) 2000-09-01 2004-03-11 トップ レイヤー ネットワークス,インク. ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法
US6650643B1 (en) * 2000-09-08 2003-11-18 Fujitsu Network Communications, Inc. Method and system for handling asynchronous transfer mode (ATM) call set-ups
US7707305B2 (en) 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network
TW588242B (en) 2000-10-23 2004-05-21 Akamba Corp System and method for handling denial of service server attacks
JP2002158699A (ja) * 2000-11-20 2002-05-31 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃防止方法および装置およびシステムおよび記録媒体
JP2002158660A (ja) * 2000-11-22 2002-05-31 Nec Corp 不正アクセス防御システム
KR100674329B1 (ko) 2000-12-30 2007-01-24 주식회사 케이티 전송 제어 프로토콜/인터넷 프로토콜 네트웍에서 라우터의폭주 제어방법
US20020112061A1 (en) 2001-02-09 2002-08-15 Fu-Tai Shih Web-site admissions control with denial-of-service trap for incomplete HTTP requests
AU2002303501A1 (en) * 2001-04-27 2002-11-11 Wanwall, Inc. Weighted fair queuing-based methods and apparatus for protecting against overload conditions on nodes of a distributed network
KR20030009887A (ko) * 2001-07-24 2003-02-05 주식회사 케이티 서비스거부 공격 차단시스템 및 방법
US7299277B1 (en) * 2002-01-10 2007-11-20 Network General Technology Media module apparatus and method for use in a network monitoring environment

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7680062B2 (en) 2004-12-02 2010-03-16 Electronics And Telecommunications Research Institute Apparatus and method for controlling abnormal traffic
KR101028101B1 (ko) * 2009-03-03 2011-04-08 시큐아이닷컴 주식회사 분산 서비스 거부 공격 방어 보안장치 및 그 방법

Also Published As

Publication number Publication date
KR100481614B1 (ko) 2005-04-08
WO2004047383A1 (en) 2004-06-03
AU2003218813A1 (en) 2004-06-15
US20060041667A1 (en) 2006-02-23
US7882556B2 (en) 2011-02-01

Similar Documents

Publication Publication Date Title
KR100481614B1 (ko) 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치
Wei et al. FlowRanger: A request prioritizing algorithm for controller DoS attacks in Software Defined Networks
US7436770B2 (en) Metering packet flows for limiting effects of denial of service attacks
Chen et al. SDNShield: Towards more comprehensive defense against DDoS attacks on SDN control plane
Ioannidis et al. Implementing pushback: Router-based defense against DDoS attacks
Lau et al. Distributed denial of service attacks
US8443444B2 (en) Mitigating low-rate denial-of-service attacks in packet-switched networks
US9276852B2 (en) Communication system, forwarding node, received packet process method, and program
EP2549694B1 (en) Method and data communication device for building a flow forwarding table item
US8645537B2 (en) Deep packet scan hacker identification
US8879388B2 (en) Method and system for intrusion detection and prevention based on packet type recognition in a network
US20160294871A1 (en) System and method for mitigating against denial of service attacks
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
EP1592197B1 (en) Network amplification attack mitigation
EP1482709A2 (en) Queuing methods for mitigation of packet spoofing
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
Hong et al. Dynamic threshold for DDoS mitigation in SDN environment
Shoeb et al. Resource management of switches and Controller during saturation time to avoid DDoS in SDN
US7464409B2 (en) Perimeter-based defense against data flooding in a data communication network
US7464398B2 (en) Queuing methods for mitigation of packet spoofing
Noh et al. Protection against flow table overflow attack in software defined networks
KR100950900B1 (ko) 분산서비스거부 공격 방어방법 및 방어시스템
RU2576488C1 (ru) СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК
Soylu et al. NFV-Guard: Mitigating flow table-overflow attacks in SDN using NFV
KR20030009887A (ko) 서비스거부 공격 차단시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090303

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee