KR20050051269A - System and method for intercepting service port attack on internet - Google Patents

System and method for intercepting service port attack on internet Download PDF

Info

Publication number
KR20050051269A
KR20050051269A KR1020030085030A KR20030085030A KR20050051269A KR 20050051269 A KR20050051269 A KR 20050051269A KR 1020030085030 A KR1020030085030 A KR 1020030085030A KR 20030085030 A KR20030085030 A KR 20030085030A KR 20050051269 A KR20050051269 A KR 20050051269A
Authority
KR
South Korea
Prior art keywords
packet
service port
mac
packets
specific
Prior art date
Application number
KR1020030085030A
Other languages
Korean (ko)
Inventor
박승언
박길주
김성환
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020030085030A priority Critical patent/KR20050051269A/en
Publication of KR20050051269A publication Critical patent/KR20050051269A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 가입자단말에 대한 고유번호로 부여되는 MAC(Media Access Control) 번호를 이용하여 인터넷 상의 특정 서비스 포트의 마비를 목적으로 특정 가입자단말로부터 전송되는 공격성 패킷을 추출하여 상기 패킷의 인터넷 접속을 차단시킴으로써 특정 서비스 포트에 대한 공격을 차단시키는 기술을 개시한다.The present invention extracts an aggressive packet transmitted from a specific subscriber station for the purpose of paralyzing a specific service port on the Internet by using a MAC (Media Access Control) number assigned as a unique number for the subscriber station to block the Internet access of the packet. To prevent attacks on specific service ports.

Description

인터넷상의 서비스 포트 공격 차단 시스템 및 방법{System and method for intercepting service port attack on internet}System and method for intercepting service port attack on internet}

본 발명은 인터넷 보안 방법에 관한 것으로, 보다 상세하게는 MAC(Media Access Control)번호를 이용하여 인터넷 상의 특정 서비스 포트의 마비를 목적으로 전송되는 공격성 패킷을 추출하여 상기 패킷의 인터넷 접속을 차단시킴으로써 특정 서비스 포트에 대한 공격을 원천적으로 차단할 수 있도록 하는 기술에 관한 것이다.The present invention relates to an Internet security method, and more particularly, by extracting an aggressive packet transmitted for the purpose of paralyzing a specific service port on the Internet by using a MAC (Media Access Control) number to block the Internet connection of the packet. The present invention relates to a technology that can fundamentally block an attack on a service port.

최근의 인터넷상에서의 공격 형태를 보면, 일반적으로 널리 알려진 서비스 포트(http: 80번, DNS 역 쿼리(inverse query): 1434번 등)를 이용하여 공격하는 경우가 많아지고 있는데, 이러한 형태의 공격은 일반적으로 사용되고 있는 서비스 포트를 주로 이용하기 때문에, 공격을 효율적으로 차단하는데 어려움이 따른다.In recent years, attacks on the Internet have been commonly attacked using well-known service ports (http: 80, DNS inverse query: 1434, etc.). Since the service port is generally used, it is difficult to effectively block the attack.

이러한 공격에 대한 기존의 대응은, 특정 서비스 포트에 대한 대역폭(bandwidth)을 제한함으로써 공격의 효과를 줄이는 방법이 제안된 상태이지만, 이러한 방식들은 공격에 대해 어느 정도의 효과는 기대할 수 있으나, 정상적인 서비스도 차단되는 경우를 감수해야 하므로 근본적인 대응 방안이라고 보기는 어렵다. The existing countermeasures against such attacks have been proposed to reduce the effects of the attack by limiting the bandwidth to a specific service port. However, these methods can be expected to have some effect on the attack. It is difficult to see it as a fundamental countermeasure because it must be blocked.

따라서, 본 발명은 상술한 종래의 문제점을 해결하기 위해 이루어진 것으로, 가입자단말에 대한 고유번호로 부여되는 MAC(Media Access Control) 번호를 이용하여 인터넷 상의 특정 서비스 포트의 마비를 목적으로 특정 가입자단말로부터 전송되는 공격성 패킷을 추출하여 상기 패킷의 인터넷 접속을 차단시킴으로써 특정 서비스 포트에 대한 공격을 차단시키는 것을 목적으로 한다.Accordingly, the present invention has been made to solve the above-described problems, and from the specific subscriber terminal for the purpose of paralyzing a specific service port on the Internet using a MAC (Media Access Control) number assigned to the subscriber terminal unique number. It aims to block an attack on a specific service port by extracting the transmitted aggressive packet and blocking the Internet connection of the packet.

상기한 목적을 실현하기 위한 본 발명에 따른 인터넷상의 서비스 포트 공격 차단 시스템은, 가입자단말로부터 전송된 패킷 중 특정 서비스 포트에 대해 공격성이 있는 패킷은 폐기하고, 공격성이 없는 패킷만을 인터넷으로 전송하는 네트워크 액세스 수단과; 상기 네트워크 액세스 수단으로부터 전송된 패킷으로부터 MAC 번호와 서비스 포트번호를 추출하여, 특정 MAC 번호에서 특정 서비스 포트번호로 전송되는 패킷 수를 계수하여 단위시간당 전송된 패킷의 수를 산출하고, 상기 단위시간당 전송된 패킷 수가 기준치를 초과하면 상기 패킷을 공격성 패킷으로 판단하여 그 판단결과를 상기 네트워크 액세스 수단으로 전송하는 패킷감시부를 구비한 것을 특징으로 한다.In the service port attack blocking system on the Internet according to the present invention for realizing the above object, a network for discarding an attacking packet to a specific service port of the packet transmitted from the subscriber terminal, and transmits only the packet without attacking to the Internet. Access means; Extract the MAC number and the service port number from the packet transmitted from the network access means, count the number of packets transmitted from a specific MAC number to a specific service port number, calculate the number of packets transmitted per unit time, and transmit the unit time. And a packet monitoring unit for judging the packet as an aggressive packet and transmitting the determination result to the network access means when the number of packets exceeded the reference value.

본 발명에 따른 인터넷상의 서비스 포트 공격 차단 방법은, 가입자단말로부터 전송된 패킷으로부터 MAC 주소와 서비스 포트 번호를 추출하는 제 1 과정; 상기 MAC 주소와 상기 서비스 포트 번호로부터 특정 MAC 주소에서 특정 서비스 포트 번호로 전송되는 패킷의 공격성을 판단하는 제 2 과정; 및 만약 상기 패킷으로부터 공격성이 확인되면 상기 패킷을 폐기하여 인터넷으로의 전송을 차단하고, 만약 상기 패킷으로부터 공격성이 확인되지 않으면 상기 패킷을 인터넷으로 전송하는 제 3 과정을 구비한 것을 특징으로 한다.The method for blocking a service port attack on the Internet according to the present invention includes a first step of extracting a MAC address and a service port number from a packet transmitted from a subscriber station; A second step of determining an aggressiveness of a packet transmitted from the MAC address and the service port number to a specific service port number at a specific MAC address; And if the aggression is confirmed from the packet, discarding the packet to block transmission to the Internet, and if the aggression is not confirmed from the packet, transmitting the packet to the Internet.

이하, 첨부된 도면을 참조하여 본 발명의 실시예를 보다 상세히 설명한다.Hereinafter, with reference to the accompanying drawings will be described an embodiment of the present invention in more detail.

본 발명의 일실시예에 따른 인터넷상의 서비스 포트 공격 차단 시스템은 도 1에 도시된 바와 같이, DSLAM(12), NAS(14), 인증시스템(16), 및 패킷감시부(18)를 구비한다.The service port attack blocking system on the Internet according to an embodiment of the present invention includes a DSLAM 12, a NAS 14, an authentication system 16, and a packet monitoring unit 18, as shown in FIG. .

도 1을 참조하여, 본 발명의 일실시예에 따른 인터넷상의 서비스 포트 공격 차단 시스템의 주요 구성요소의 기능을 상세하게 설명한다.Referring to Figure 1, the function of the main components of the service port attack blocking system on the Internet according to an embodiment of the present invention will be described in detail.

DSLAM(Digital Subscriber Line Access Multiplexer: 12)은 복수의 가입자단말(10)이 접속되고, 상기 가입자단말들에 대해서 다중화를 수행하여 각 가입자단말이 NAS(14)를 통해 인터넷(200)에 접속될 수 있도록 하는 다중화장치이다.In the DSLAM (Digital Subscriber Line Access Multiplexer) 12, a plurality of subscriber stations 10 may be connected, and multiplexing may be performed on the subscriber stations so that each subscriber station may be connected to the Internet 200 through the NAS 14. It is a multiplexing device.

NAS(Natwork Access System: 14)는 인증시스템(16)과 연동하여 인터넷 접속을 요청하는 가입자단말(10)에 대한 인증을 수행한 후, 인증에 성공한 가입자단말(10)에 대해서 IP주소를 할당하여 가입자단말(10)이 인터넷 서비스를 이용할 수 있도록 하고, 패킷감시부(18)와 연동하여 가입자단말(10)로부터 전송되는 패킷의 특정 서비스 포트에 대한 공격성 여부를 확인하여, 상기 패킷이 특정 서비스 포트의 공격용 패킷으로 판단되면 상기 패킷의 인터넷 접속을 차단하는 기능을 수행한다.The NAS (Natwork Access System) 14 performs authentication with the subscriber station 10 requesting access to the Internet by interworking with the authentication system 16, and then assigns an IP address to the subscriber station 10 which has been successfully authenticated. Enable the subscriber station 10 to use the Internet service, and in conjunction with the packet monitoring unit 18 to check whether the packet transmitted from the subscriber station 10 has aggression to a specific service port, the packet is a specific service port If it is determined that the attacking packet of the packet performs the function of blocking the Internet access of the packet.

인증시스템(16)은 가입자에 대한 서비스 프로파일이 구비되어, NAS(14)로부터 특정 가입자에 대한 인증이 요청되면, 가입자로부터 전송되는 인증정보(예컨대, ID, 패스워드, MAC 주소 등)를 서비스 프로파일에서 조회하여, 상기 인증정보가 상기 서비스 프로파일에 저장되었으면 NAS(14)로 상기 가입자에 대한 인증결과 "성공"을 통보하고, 상기 인증정보가 상기 서비스프로파일에 저장되어 있지 않으면 NAS(14)로 상기 가입자에 대한 인증결과 "실패"를 통보하는 기능을 수행한다.The authentication system 16 is provided with a service profile for a subscriber. When authentication is requested for a specific subscriber from the NAS 14, authentication information (for example, ID, password, MAC address, etc.) transmitted from the subscriber is included in the service profile. Inquiring, if the authentication information has been stored in the service profile, notifying the NAS 14 of the authentication result "success" for the subscriber, and if the authentication information is not stored in the service profile, the subscriber to the NAS 14; Performs a function of notifying the authentication result of "failure".

패킷감시부(18)는 NAS(14)를 통해 전송되는 패킷으로부터 MAC 주소와 서비스 포트 정보를 추출하여, 추출된 MAC 주소와 서비스 포트 정보를 근거로 상기 패킷의 공격성 여부를 확인하여, 상기 패킷이 특정 서비스 포트에 대해 공격성을 갖는 패킷으로 확인되면, 상기 패킷을 폐기하여 인터넷(20)으로의 전송을 차단하는 기능을 수행한다.The packet monitoring unit 18 extracts MAC address and service port information from the packet transmitted through the NAS 14, and checks whether the packet is aggressive based on the extracted MAC address and service port information. If the packet is confirmed to be offensive to a particular service port, the packet is discarded to block transmission to the Internet 20.

패킷감시부(18)는 도 2에 도시된 바와 같이, NAS(14)로부터 전송되는 패킷을 메모리(도시 생략)에 복사하고, 상기 패킷을 MAC 번호추출부(182)와 서비스포트추출부(183)로 로딩시키는 제어부(181); 상기 패킷에서 2 계층인 MAC 레이어의 MAC 어드레스 영역 중 소스 어드레스(6 바이트)에서 MAC 주소를 추출하는 MAC 번호 추출부(182); 상기 패킷에서 4계층인 TCP(Transmission Control Protocol) 레이어의 목적지 포트(2 바이트)에서 서비스 포트번호를 추출하는 서비스 포트 번호 추출부(183); MAC 번호 추출부(182)와 서비스 포트 번호 추출부(183)의 출력을 근거로 특정 MAC 번호에서 특정 서비스 포트 번호로 전송되는 패킷의 수를 계수하여 기준 단위시간당 패킷수(PD)를 설정하되, 상기 공격성판단부(185)로부터 공격성 패킷으로 판단된 패킷의 수는 특정 MAC 번호에서 특정 서비스 포트 번호로 전송되는 패킷의 수에서 제외시켜 기준 단위시간당 패킷수(PD)를 설정하는 기준치설정부(184); 및 MAC 번호 추출부(182)와 서비스 포트 번호 추출부(183)의 출력을 근거로 특정 MAC 번호에서 특정 서비스 포트 번호로 전송되는 패킷의 수를 계수하여 단위시간당 패킷수(P)를 산출한 후, 상기 단위시간당 패킷수(P)와 기준설정부(184)에서 제공되는 기준 단위시간당 패킷수(PD)의 비교결과를 근거로 해당 패킷의 공격성 여부를 판단하는 공격성 판단부(185)를 구비한다. 기준치설정부(184)에서의 기준 단위시간당 패킷수(PD)는 상기 MAC 번호 추출부(182)과 상기 서비스 포트 번호 추출부(183)의 출력을 근거로 특정 MAC 번호에서 특정 서비스 포트 번호로 전송되는 정상 패킷의 수를 계수한 후, 상기 패킷 수에 대해 허용가능범위 예컨대, 150%를 적용하여 설정된 값이다.As illustrated in FIG. 2, the packet monitoring unit 18 copies a packet transmitted from the NAS 14 to a memory (not shown), and copies the packet to the MAC number extraction unit 182 and the service port extraction unit 183. A control unit 181 for loading into the; A MAC number extractor (182) for extracting a MAC address from a source address (6 bytes) of the MAC address areas of the MAC layer, which is two layers in the packet; A service port number extractor 183 for extracting a service port number from a destination port (2 bytes) of a 4 layer TCP (Transmission Control Protocol) layer in the packet; On the basis of the output of the MAC number extractor 182 and the service port number extractor 183, the number of packets transmitted from a specific MAC number to a specific service port number is set to set the number of packets per reference unit time (PD), A reference value setting unit 184 for setting the number of packets per reference unit time PD by subtracting the number of packets determined to be aggressive packets from the aggressive determination unit 185 from a specific MAC number to a specific service port number. ); And counting the number of packets transmitted from the specific MAC number to the specific service port number based on the outputs of the MAC number extractor 182 and the service port number extractor 183 to calculate the number of packets per unit time (P). And an aggression determination unit 185 that determines whether or not the packet is aggressive based on a comparison result of the number of packets per unit time P and the reference number of packets per unit time PD provided by the reference setting unit 184. . The number of packets per reference unit time PD in the reference value setting unit 184 is transmitted from a specific MAC number to a specific service port number based on the output of the MAC number extractor 182 and the service port number extractor 183. After counting the number of normal packets to be received, it is a value set by applying an allowable range, for example, 150% to the number of packets.

이어, 도 3에 도시된 플로우차트를 참조하여 본 발명의 실시예에 따른 인터넷상의 서비스 포트 공격 차단 방법을 구체적으로 설명한다.Next, a method for blocking service port attacks on the Internet according to an embodiment of the present invention will be described in detail with reference to the flowchart shown in FIG. 3.

인증된 가입자 단말(10)로부터 전송되는 패킷이 DSLAM(12)을 통해 NAS(14)로 전달되면, NAS(14)는 상기 패킷을 패킷감시부(18)로 전달한다(S2).When the packet transmitted from the authenticated subscriber station 10 is delivered to the NAS 14 through the DSLAM 12, the NAS 14 delivers the packet to the packet monitoring unit 18 (S2).

패킷감시부(18)의 제어부(181)는 상기 패킷을 메모리(도시 생략)에 복사한 후, 상기 패킷을 MAC 번호 추출부(182)와 서비스 포트 번호 추출부(183)로 로딩시켜, MAC 번호 추출부(182)에 의해 2 계층인 MAC 레이어의 MAC 어드레스 영역 중 소스 어드레스(6 바이트)에서 MAC 주소를 추출하고, 서비스 포트 번호 추출부(183)에 의해 4계층인 TCP 레이어의 목적지 포트(2 바이트)에서 서비스 포트번호를 추출한다(S4). 공지된 바와 같이, 상기 서비스 포트번호는 서비스 유형을 구분짓는 번호를 의미하는데, HTTP는 80번, FTP는 20번, TELET은 23번, DHCP 역 쿼리 번호는 1434번으로 정의되어 있다.The control unit 181 of the packet monitoring unit 18 copies the packet to a memory (not shown), and then loads the packet into the MAC number extracting unit 182 and the service port number extracting unit 183, and the MAC number. The extractor 182 extracts the MAC address from the source address (6 bytes) of the MAC address areas of the two-layer MAC layer, and the service port number extractor 183 extracts the destination port 2 of the TCP layer four layers. Byte) to extract the service port number (S4). As is known, the service port number means a number that distinguishes a service type, such as 80 for HTTP, 20 for FTP, 23 for TELET, and 1434 for DHCP reverse query number. It is defined.

이어, 패킷감시부(18)의 공격성 판단부(185)는 상기 MAC 주소에서 특정 서비스 포트 번호로 전송된 패킷의 수를 카운트하여, 단위시간당 패킷수(P)를 추출한 후, 추출된 단위 시간당 패킷수를 기준설정부(184)에 의해 제공되는 기준 단위시간당 패킷수(PD)와 비교하여 공격성을 판단한다(S6).Subsequently, the aggressiveness determination unit 185 of the packet monitoring unit 18 counts the number of packets transmitted from the MAC address to a specific service port number, extracts the packet number P per unit time, and then extracts the packet per unit time. Aggressiveness is determined by comparing the number with the number of packets per reference unit time PD provided by the reference setting unit 184 (S6).

상기 판단결과, 단위시간당 패킷수(P)가 기준 단위시간당 패킷수(PD)보다 크면(S8에서 Yes) 상기 패킷을 공격성 패킷으로 판단하여 상기 패킷이 공격성 패킷임을 NAS(14)로 통보한다. 이에, NAS(14)는 상기 패킷을 폐기하여, 상기 패킷이 인터넷(20)에 전송되는 것을 차단한다(S10).As a result of the determination, if the packet number P per unit time is larger than the reference number PD packet per unit time (Yes in S8), the packet is determined to be an aggressive packet and the NAS 14 is notified that the packet is an aggressive packet. Accordingly, the NAS 14 discards the packet and blocks the packet from being transmitted to the Internet 20 (S10).

그러나, 상기 판단결과 단위시간당 패킷수(P)가 기준 단위시간당 패킷수(PD)보다 작거나 같으면(S8에서 No) 상기 패킷을 정상 패킷으로 판단하여 그 판단결과를 NAS(14)로 통보한다. 이에, NAS(14)는 상기 패킷을 인터넷(20)으로 전송하여, 상기 패킷이 목적지 IP 주소로 전송될 수 있도록 한다(S12).However, if the packet count P per unit time is less than or equal to the standard packet count PD per unit time (No in S8), the packet is determined to be a normal packet and the NAS 14 is notified of the determination result. Thus, the NAS 14 transmits the packet to the Internet 20, so that the packet can be transmitted to the destination IP address (S12).

도 3과 같은 인터넷상의 서비스 포트 공격 차단 방법에 의하면, 특정 MAC 번호에서 특정 서비스 포트 번호로 전송되는 패킷이 기준 단위시간당 패킷수를 초과하면, 상기 서비스 포트 번호로 전송되는 패킷이 차단하여 상기 서비스 포트가 인터넷상에서 공격받는 것을 차단할 수 있게 된다. 또, 특정 MAC 번호에서 특정 서비스 포트 번호로 전송되는 패킷이 기준 단위시간당 패킷수 이하로 떨어지면, 정상적으로 상기 서비스 포트 번호로 패킷을 전송할 수 있게 된다.According to the method for blocking a service port attack on the Internet as shown in FIG. 3, when a packet transmitted from a specific MAC number to a specific service port number exceeds the number of packets per reference unit time, the packet transmitted to the service port number is blocked and the service port is blocked. Can be blocked from attacking on the Internet. In addition, when a packet transmitted from a specific MAC number to a specific service port number falls below the number of packets per reference unit time, the packet can be normally transmitted to the service port number.

이로서, 악의의 MAC 번호에서 특정 서비스 포트 번호로 전송되는 패킷은 선별적으로 차단되고, 선의의 MAC 번호에서 상기 서비스 포트 번호로 전송되는 패킷은 인터넷을 통해 정상적으로 전송된다. As a result, packets transmitted from the malicious MAC number to the specific service port number are selectively blocked, and packets transmitted from the well-known MAC number to the service port number are normally transmitted through the Internet.

이상 설명한 바와 같은 본 발명에 의하면, 인터넷 접속단에서 특정 서비스 포트를 이용한 공격을 효율적으로 차단할 수 있게 됨에 따라, 해킹을 원천적으로 방지할 수 있는 효과를 갖고, 이로서 통신망의 신뢰도를 향상시킬 수 있다는 효과를 갖는다. According to the present invention as described above, it is possible to effectively block the attack using a specific service port in the Internet access terminal, has the effect of preventing hacking inherently, thereby improving the reliability of the communication network Has

한편, 본 발명은 상술한 실시예로만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있고, 이러한 수정 및 변경 등은 이하의 특허 청구의 범위에 속하는 것으로 보아야 할 것이다.On the other hand, the present invention is not limited to the above-described embodiment, but can be modified and modified within the scope not departing from the gist of the present invention, such modifications and changes should be regarded as belonging to the following claims. will be.

도 1은 본 발명의 일실시예에 따른 인터넷상의 서비스 포트 공격 차단 시스템의 블럭구성도.1 is a block diagram of a service port attack blocking system on the Internet according to an embodiment of the present invention.

도 2는 도 1에 도시된 패킷감시부(18)의 세부 구성도.2 is a detailed configuration diagram of the packet monitoring unit 18 shown in FIG.

도 3은 본 발명의 일실시예에 따른 인터넷상의 서비스 포트 공격 차단 방법을 설명하기 위한 플로우차트.3 is a flowchart for explaining a service port attack blocking method on the Internet according to an embodiment of the present invention.

Claims (8)

가입자단말로부터 전송된 패킷 중 특정 서비스 포트에 대해 공격성이 있는 패킷은 폐기하고, 공격성이 없는 패킷만을 인터넷으로 전송하는 네트워크 액세스 수단과;Network access means for discarding an attacking packet to a specific service port among the packets transmitted from the subscriber station and transmitting only the non-attacking packet to the Internet; 상기 네트워크 액세스 수단으로부터 전송된 패킷으로부터 MAC 번호와 서비스 포트번호를 추출하여, 특정 MAC 번호에서 특정 서비스 포트번호로 전송되는 패킷 수를 계수하여 단위시간당 전송된 패킷의 수를 산출하고, 상기 단위시간당 전송된 패킷 수가 기준치를 초과하면 상기 패킷을 공격성 패킷으로 판단하여 그 판단결과를 상기 네트워크 액세스 수단으로 전송하는 패킷감시부를 구비한 것을 특징으로 하는 인터넷상의 서비스 포트 공격 차단 시스템.Extract the MAC number and the service port number from the packet transmitted from the network access means, count the number of packets transmitted from a specific MAC number to a specific service port number, calculate the number of packets transmitted per unit time, and transmit the unit time. And a packet monitoring unit for judging the packet as an aggressive packet and transmitting the determination result to the network access means when the number of packets exceeded the reference value. 제 1 항에 있어서,The method of claim 1, 상기 패킷감시부는The packet monitoring unit 상기 네트워크 액세스 수단으로부터 전송되는 패킷으로부터 2 계층인 MAC 레이어의 MAC 어드레스 영역 중 소스 어드레스에서 MAC 주소를 추출하는 MAC 번호 추출수단;MAC number extracting means for extracting a MAC address from a source address in a MAC address region of a two-layer MAC layer from a packet transmitted from the network access means; 상기 네트워크 액세스 수단으로부터 전송되는 패킷으로부터 4계층인 TCP 레이어의 목적지 포트에서 서비스 포트번호를 추출하는 서비스 포트 번호 추출수단;Service port number extracting means for extracting a service port number from a packet transmitted from said network access means at a destination port of a 4 layer TCP layer; 상기 MAC 번호 추출수단과 상기 서비스 포트 번호 추출수단의 출력을 근거로 특정 MAC 번호에서 특정 서비스 포트 번호로 전송되는 정상 패킷의 수를 계수하여 기준 단위시간당 패킷수(PD)를 설정하는 기준 단위시간당 패킷수(PD)를 설정하는 기준치설정수단; 및 Based on the output of the MAC number extraction means and the service port number extraction means, the packet per reference unit time for setting the number of packets per reference unit time (PD) by counting the number of normal packets transmitted from a specific MAC number to a specific service port number Reference value setting means for setting the number PD; And 상기 MAC 번호 추출수단과 서비스 포트 번호 추출수단의 출력을 근거로 특정 MAC 번호에서 특정 서비스 포트 번호로 전송되는 패킷의 수를 계수하여 단위시간당 패킷수(P)를 산출한 후, 상기 단위시간당 패킷수(P)와 상기 기준설정수단에서 제공되는 기준 단위시간당 패킷수(PD)의 비교결과를 근거로 해당 패킷의 공격성 여부를 판단하는 공격성 판단수단을 구비하는 것을 특징으로 하는 인터넷상의 서비스 포트 공격 차단 시스템. After counting the number of packets transmitted from a specific MAC number to a specific service port number based on the output of the MAC number extracting means and the service port number extracting means, the number of packets per unit time is calculated, and the number of packets per unit time is calculated. And aggression determination means for determining whether the corresponding packet is aggressive based on a comparison result of (P) and the number of packets per reference unit time (PD) provided by the reference setting means. . 제 2 항에 있어서, 상기 기준치설정수단은The method of claim 2, wherein the reference value setting means 상기 MAC 번호 추출수단과 상기 서비스 포트 번호 추출수단의 출력을 근거로 특정 MAC 번호에서 특정 서비스 포트 번호로 전송되는 정상 패킷의 수를 계수한 후, 상기 패킷 수에 대해 허용가능범위를 적용하여 기준 단위시간당 패킷수(PD)를 설정하는 것을 특징으로 하는 인터넷상의 서비스 포트 공격 차단 시스템.Based on the output of the MAC number extracting means and the service port number extracting means, the number of normal packets transmitted from a specific MAC number to a specific service port number is counted, and then a reference unit is applied by applying an allowable range to the number of packets. A service port attack blocking system on the Internet, characterized by setting the number of packets per hour (PD). 제 3 항에 있어서, 상기 기준치설정수단에서 계수되어지는 정상패킷은  The normal packet counted by the reference value setting means comprises: 상기 공격성판단수단에서 공격성 패킷으로 판단되지 않은 패킷인 것을 특징으로 하는 인터넷상의 서비스 포트 공격 차단 시스템.The service port attack blocking system on the Internet, characterized in that the packet is not determined to be an aggressive packet in the aggressive determination means. 가입자단말로부터 전송된 패킷으로부터 MAC 주소와 서비스 포트 번호를 추출하는 제 1 과정;Extracting a MAC address and a service port number from a packet transmitted from a subscriber station; 상기 MAC 주소와 상기 서비스 포트 번호로부터 특정 MAC 주소에서 특정 서비스 포트 번호로 전송되는 패킷의 공격성을 판단하는 제 2 과정; 및A second step of determining an aggressiveness of a packet transmitted from the MAC address and the service port number to a specific service port number at a specific MAC address; And 만약 상기 패킷으로부터 공격성이 확인되면 상기 패킷을 폐기하여 인터넷으로의 전송을 차단하고, 만약 상기 패킷으로부터 공격성이 확인되지 않으면 상기 패킷을 인터넷으로 전송하는 제 3 과정을 구비한 것을 특징으로 하는 인터넷상의 서비스 포트 공격 차단 방법.If aggression is identified from the packet, the packet is discarded to block transmission to the Internet; if the aggression is not confirmed from the packet, a third process of transmitting the packet to the Internet is provided. How to block port attacks. 제 5 항에 있어서, 상기 제 2 과정은The method of claim 5, wherein the second process 상기 제 1 과정에서 추출된 MAC 주소와 서비스 포트 번호를 근거로 특정 MAC 번호에서 특정 서비스 포트로 전송되는 정상 패킷의 수를 개수하여 기준 단위시간당 패킷 수(PD)를 산출하여 기준 단위시간당 패킷수(PD)를 설정하는 제 1 단계와;On the basis of the MAC address and the service port number extracted in the first process, the number of normal packets transmitted from a specific MAC number to a specific service port is calculated to calculate the number of packets per reference unit time (PD) to determine the number of packets per reference unit time ( Setting up a PD); 상기 제 1 과정에서 추출된 MAC 주소와 서비스 포트 번호를 근거로 특정 MAC 번호에서 특정 서비스 포트로 전송되는 정상 패킷의 수를 개수하여 단위시간당 패킷 수(P)를 산출한 후, 상기 단위시간당 패킷 수(P)와 상기 기준 단위시간당 패킷 수(PD)의 비교결과를 근거로 해당 패킷의 공격성 여부를 판단하는 제 2 단계로 이루어진 것을 특징으로 하는 인터넷상의 서비스 포트 공격 차단 방법. After calculating the number of packets per unit time P by counting the number of normal packets transmitted from a specific MAC number to a specific service port based on the MAC address and the service port number extracted in the first step, the number of packets per unit time And a second step of determining whether the corresponding packet is aggressive based on the comparison result of the reference packet number per PD. 제 6 항에 있어서, 상기 기준 단위시간당 패킷 수(PD)는 The method of claim 6, wherein the PD number of packets per unit time is 상기 특정 MAC 번호에서 특정 서비스 포트 번호로 전송되는 정상 패킷의 수의 계수 결과값에 일정 범위의 허용가능치를 가산하여 산출된 것임을 특징으로 하는 인터넷상의 서비스 포트 공격 차단 방법.And a predetermined range of allowable values is added to a result value of the number of normal packets transmitted from the specific MAC number to a specific service port number. 제 7 항에 있어서, 상기 정상 패킷은8. The method of claim 7, wherein the normal packet is 가입자단말로부터 전송된 패킷 중 공격성이 확인되지 않은 패킷인 것을 특징으로 하는 인터넷상의 서비스 포트 공격 차단 방법.A method for preventing a service port attack on the Internet, wherein the packet transmitted from the subscriber station is an unverified packet.
KR1020030085030A 2003-11-27 2003-11-27 System and method for intercepting service port attack on internet KR20050051269A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030085030A KR20050051269A (en) 2003-11-27 2003-11-27 System and method for intercepting service port attack on internet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030085030A KR20050051269A (en) 2003-11-27 2003-11-27 System and method for intercepting service port attack on internet

Publications (1)

Publication Number Publication Date
KR20050051269A true KR20050051269A (en) 2005-06-01

Family

ID=38666516

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030085030A KR20050051269A (en) 2003-11-27 2003-11-27 System and method for intercepting service port attack on internet

Country Status (1)

Country Link
KR (1) KR20050051269A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101231966B1 (en) * 2010-04-19 2013-02-08 에스2정보 주식회사 Server obstacle protecting system and method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101231966B1 (en) * 2010-04-19 2013-02-08 에스2정보 주식회사 Server obstacle protecting system and method

Similar Documents

Publication Publication Date Title
US9288218B2 (en) Securing an accessible computer system
US8800001B2 (en) Network authentication method, method for client to request authentication, client, and device
CN1316369C (en) Secret hashing for SYN/FIN correspondence
US7930740B2 (en) System and method for detection and mitigation of distributed denial of service attacks
CN101378395B (en) Method and apparatus for preventing reject access aggression
CN101136922B (en) Service stream recognizing method, device and distributed refusal service attack defending method, system
US20070140275A1 (en) Method of preventing denial of service attacks in a cellular network
US20070294759A1 (en) Wireless network control and protection system
US7254713B2 (en) DOS attack mitigation using upstream router suggested remedies
CN115378625B (en) Cross-network information security interaction method and system
CN100420197C (en) Method for guarding against attack realized for networked devices
KR101064382B1 (en) Arp attack blocking system in communication network and method thereof
KR100533785B1 (en) Method for preventing arp/ip spoofing automatically on the dynamic ip address allocating environment using dhcp packet
JP2006331015A (en) Server device protection system
US20070140121A1 (en) Method of preventing denial of service attacks in a network
KR101268104B1 (en) Intrusion prevention system and controlling method
KR100756462B1 (en) Method for management a self-learning data in Intrusion prevention system and Method for handling a malicious traffic using the same
KR20050051269A (en) System and method for intercepting service port attack on internet
US20060225141A1 (en) Unauthorized access searching method and device
JP2006345268A (en) Packet filter circuit and packet filter method
KR102027438B1 (en) Apparatus and method for blocking ddos attack
KR101358794B1 (en) Distributed denial of service attack protection system and method
EP4252389B1 (en) Method and apparatus for preventing malicious network traffic
KR102366574B1 (en) Wireless Intrusion Prevention Methods
CN115473720A (en) Method and system for protecting TCP/IP session security

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination