KR20100071747A - 서비스 거부 공격을 탐지하는 단말, 네트워크 장비 및 방법 - Google Patents

서비스 거부 공격을 탐지하는 단말, 네트워크 장비 및 방법 Download PDF

Info

Publication number
KR20100071747A
KR20100071747A KR1020080130565A KR20080130565A KR20100071747A KR 20100071747 A KR20100071747 A KR 20100071747A KR 1020080130565 A KR1020080130565 A KR 1020080130565A KR 20080130565 A KR20080130565 A KR 20080130565A KR 20100071747 A KR20100071747 A KR 20100071747A
Authority
KR
South Korea
Prior art keywords
session
destination
source
protocol message
received
Prior art date
Application number
KR1020080130565A
Other languages
English (en)
Inventor
박재우
김정준
주원용
양광모
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020080130565A priority Critical patent/KR20100071747A/ko
Publication of KR20100071747A publication Critical patent/KR20100071747A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 서비스 거부 공격을 탐지하는 단말, 네트워크 장비 및 방법에 관한 것이다.
본 발명은 SIP 메시지의 소스 주소 및 Call ID를 기반으로 세션 ID를 생성, 관리하고 세션 ID를 이용한 악의적인 사용자의 반복적인 SIP 플러딩 공격을 감지하는 방법을 제공한다.
본 발명은 SIP 기반 VoIP 시스템에 대한 공격자의 스캐닝을 감지하고 이를 시각화할 수 있는 방법을 제공한다.
본 발명은 SIP 프로토콜을 이용하는 VoIP 시스템에 대한 공격을 수행하려는 움직임을 사전에 탐지하여 빠르게 대응하는 효과를 기대할 수 있다.
서비스 거부 공격, SIP, VoIP, 플러딩, 스캐닝 공격, 세션 연결 요청

Description

서비스 거부 공격을 탐지하는 단말, 네트워크 장비 및 방법{Terminal, Network Apparatus and Method for Monitoring Denial of Service}
본 발명은 서비스 거부 공격 방법에 관한 것으로서, 특히 SIP 기반 VoIP 단말에서의 서비스 거부 공격 방법에 관한 것이다.
인터넷 IP 프로토콜을 사용하는 전화 서비스인 VoIP(Voice over IP)는 IP망 경유를 통한 저렴한 통신 비용 및 거리에 무관한 요금제 적용, IP망을 통한 다양한 부가 서비스를 제공한다.
그러나 VoIP는 공유되는 인터넷 망을 이용하는 문제로 인하여 수많은 보안 위협을 받아 시장이 위축될 수 있는 문제점이 있었다.
세션 초기 프로토콜(Session Initiation Protocol, 이하 'SIP'라 칭함) 기반 VoIP 서비스에서 콜 셋업 초기화는 기본적으로 Invite 메시지를 통해 시작된다. 송신 VoIP 단말기는 INVITE request를 프락시 서버로 전송한다
프락시 서버는 위치 서버로 사용자의 위치를 요청하고 위치 서버로부터 사용자의 위치 정보를 획득한다.
프락시 서버는 위치 서버로부터 받은 새로운 사용자의 주소로 SIP INVITE request를 직접 보내게 되고 착신 VoIP 단말기는 프락시 서버로 응답을 보내게 된다. 이때 프락시 서버는 응답을 원래 발신자 클라이언트로 콜 성공에 대한 응답을 돌려 보낸다.
송신 VoIP 단말기는 응답을 제대로 수신했음을 ACK Request 전송하여 알리게 된다. ACK를 수신한 착신 VoIP 단말기와 ACK 전송한 송신 VoIP 단말기 사이에는 RTP 세션이 수립되어 통화가 이루어지게 된다.
이러한 과정 속에서 단말기는 SIP 플러딩(Flooding) 공격과 RTP 플러딩 공격에 노출된다.
즉, 현재의 국내 VoIP 시스템에서는 Invite 메시지에 대한 무결성을 입증할 수 있는 메커니즘이 없다는 사실이다.
침입자는 누구라도 쉽게 Inviteflood라는 툴을 인터넷에서 쉽게 구할 수 있고 이러한 툴을 이용하여 Invite 메시지를 단말로 전송한다.
따라서, Invite 플러딩 공격에 노출된 단말기들은 오작동을 일으키고 공격하는 패킷의 숫자가 증가하는 경우 단말기 시스템이 다운되는 문제점이 발생하였다.
RTP 플러딩 공격의 경우 RTP 미디어 세션이 수립된 이후에 구축된 RTP 세션으로 무의미한 RTP 패킷을 플러딩 하는 방식으로 공격한다.
VoIP 단말기는 RTP 플러딩 공격에 노출되는 경우 실제 공격하는 RTP 패킷이 통화 내용에 영향을 미치지 않지만 통화의 품질을 저하시킨다.
이와 같은 문제점을 해결하기 위하여, 본 발명은 SIP 기반 서비스 거부 공격을 탐지하는 VoIP 단말, 네트워크 장비 및 방법을 제공하기 위한 것이다.
이러한 기술적 과제를 달성하기 위한 본 발명의 특징에 따른 서비스 거부 공격을 탐지하는 네트워크 장비는 세션 초기 프로토콜(Session Initiation Protocol) 메시지를 수신하는 경우 상기 수신한 세션 초기 프로토콜 메시지의 헤더―상기 헤더는 소스 아이피와 목적지 아이디 및 목적지 포트 번호를 포함함―에서 상기 소스 아이피, 상기 목적지 아이피 및 상기 목적 포트 번호를 검색하여 스캐닝 테이블에 저장하는 패킷 처리부; 상기 스캐닝 테이블을 모니터링하여 동일한 소스 아이피에서 전송되는 패킷들이 기설정된 타임아웃 시간 내에 상기 목적지 아이피가 일정하게 변화하는지 제1 패턴 정보를 파악하는 아이피 주소 스캐닝 감지부; 상기 스캐닝 테이블을 모니터링하여 동일한 소스 아이피에서 전송되는 패킷들이 기설정된 타임아웃 시간 내에 상기 목적지 포트 번호가 일정하게 변화하는지 제2 패턴 정보를 파악하는 가용 포트 스캐닝 감지부; 및 상기 제1 패턴 정보 또는 상기 제2 패턴 정보가 감지되는 경우 상기 소스 아이피에서 전송되는 패킷들의 세션 연결 요청을 차단하는 제어부를 포함한다.
본 발명의 특징에 따른 서비스 거부 공격 탐지 방법은 (a) 세션 초기 프로토콜(Session Initiation Protocol) 메시지를 수신하는 경우 상기 수신한 세션 초기 프로토콜 메시지의 헤더―상기 헤더는 소스 아이피와 목적지 아이디 및 목적지 포트 번호를 포함함―에서 상기 소스 아이피, 상기 목적지 아이피 및 상기 목적 포트 번호를 스캐닝 테이블에 저장하는 단계; (b) 상기 스캐닝 테이블에서 상기 세션 초기 프로토콜 메시지 중 상기 소스 아이피가 동일한 패킷들이 기설정된 타임아웃(Timeout) 시간 내에 상기 목적지 아이피가 일정하게 변화하는지 패턴 정보를 파악하는 단계; 및 (c) 상기 목적지 아이피가 일정하게 변화하는 것으로 감지되는 경우 특정 인터넷 아이피 프로토콜을 사용하는 단말에 대해 공격하기 위해 스캐닝되고 있다고 감지하는 단계를 포함한다.
본 발명의 특징에 따른 서비스 거부 공격을 탐지하는 단말은 세션 초기 프로토콜(Session Initiation Protocol) 메시지를 수신하는 경우 상기 수신한 세션 초기 프로토콜 메시지의 헤더 중 소스 아이피 주소와 콜 아이디 필드를 이용하여 세션 아이디를 생성하는 세션 ID 생성부; 상기 수신한 세션 초기 프로토콜 메시지에 대한 상기 생성한 세션 아이디와 세션 연결 요청수를 저장하는 세션 관리 테이블; 및 상기 세션 관리 테이블에서 상기 생성한 세션 아이디가 존재하는지 검색하고 상기 생성한 세션 아이디에 해당하는 상기 세션 연결 요청수를 모니터링하여 상기 세션 연결 요청수가 기설정된 연결 한계값을 넘어서는지 판단하여 상기 연결 한계값을 초과하는 경우 세션 연결 요청을 차단하는 제어부를 포함한다.
본 발명의 실시예에 따른 서비스 거부 공격 탐지 방법은 (a) 세션 초기 프로토콜(Session Initiation Protocol) 메시지를 수신하는 경우 상기 수신한 세션 초기 프로토콜 메시지의 헤더―상기 헤더는 소스 IP, 목적지 IP 및 콜 아이디 필드를 포함함―를 분석하여 상기 목적지 IP가 인터넷 아이피 프로토콜을 사용하는 단말인지 판단하는 단계; (b) 상기 목적지 IP가 상기 인터넷 아이피 프로토콜을 사용하는 단 말인 경우 상기 소스 IP와 상기 콜 아이디 필드를 이용하여 세션 아이디를 계산하는 단계; (c) 상기 수신한 세션 초기 프로토콜 메시지의 세션 정보―상기 세션 정보는 상기 세션 아이디와 세션 연결 요청수를 포함함―가 세션 관리 테이블에 존재하는지 검색하고 상기 세션 관리 테이블에 존재하는 경우 상기 세션 연결 요청수가 기설정된 연결 한계치를 초과하는지 판단하는 단계; 및 (d) 상기 세션 연결 요청수가 상기 연결 한계치를 초과하는 경우 상기 수신한 세션 초기 프로토콜 메시지의 세션 연결 요청을 차단하는 단계를 포함한다.
전술한 구성에 의하여, 본 발명은 SIP 플러딩 공격으로 인한 성능 감소를 최소화하는 효과를 기대할 수 있다.
본 발명은 SIP 프로토콜을 이용하는 VoIP 시스템에 대한 공격을 수행하려는 움직임을 사전에 탐지하여 빠르게 대응하는 효과를 기대할 수 있다.
본 발명은 VoIP 시스템에 대한 공격을 수행하려는 탐색 동작을 빠르게 감지하여 이를 시각화함으로써 사람이 공격을 쉽게 인지할 수 있다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사 한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈", "블록" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
서비스 거부 공격은 플러딩과 같은 유형의 시스템 자원을 고갈시키는 것을 목적으로 하는 것으로서, 사전에 공격을 탐지만 가능하다면 해당 탐지된 공격지에 대해 필터링 기술을 적용시켜 방어가 가능하다.
도 1은 본 발명의 실시예에 따른 서비스 거부 공격을 탐지하는 SIP 기반 VoIP 단말의 내부 구성을 간략하게 나타낸 블록 구성도이다.
본 발명의 실시예에 따른 VoIP 단말(100)은 세션 ID 생성부(110), 세션 관리 테이블(120) 및 제어부(130)를 포함한다.
세션 ID 생성부(110)는 SIP 시그널 패킷을 수신하는 경우 수신한 SIP 시그널 패킷의 헤더를 분석하여 소스 IP 주소와 콜 ID 필드를 구한다. 여기서, SIP 시그널 패킷은 SIP 메시지를 의미하고, SIP 시그널 패킷의 헤더는 소스 IP 주소, 목적지 IP 주소 및 콜 ID 필드를 포함한다.
세션 ID 생성부(110)는 소스 IP 주소와 세션을 요청하는 콜 ID 필드를 XOR한 결과값을 MD5 해시 함수를 이용하여 세션 ID를 계산한다.
여기서, XOR을 하는 이유는 유일한 세션 ID를 구하기 위함이고, MD5 해시 함수를 통해 해시 연산을 수행하는 이유는 모든 세션 ID값들이 128 비트의 일정한 길이를 가지게 되어 빠른 비교 연산을 수행하는 것이 가능해지기 때문이다.
이를 수식으로 나타내면 다음의 [수학식 1]과 같으며 이와 같은 생성된 세션은 128 비트의 값을 가지게 된다.
Session ID = M5(Source IP address ^ Call ID)
세션 관리 테이블(120)은 세션 ID와 세션 연결 요청수(Count 횟수)가 저장되어 있다.
제어부(130)는 수신된 SIP 시그널 패킷의 세션 ID가 세션 관리 테이블(120)에서 검색하여 세션 ID에 해당하는 세션 연결 요청수를 모니터링하고 세션 연결 요청수가 기설정된 연결 한계값을 초과하는지 판단하여 연결 한계값을 초과하는 경우 해당 패킷의 세션 연결 요청을 차단한다.
다음, 도 2를 참조하여 VoIP 단말(100)을 이용하여 서비스 거부 공격을 탐지하는 방법을 상세하게 설명한다.
도 2는 본 발명의 실시예에 따른 VoIP 단말(100)을 이용하여 서비스 거부 공격을 탐지하는 방법을 설명하기 위한 도면이다.
세션 ID 생성부(110)는 SIP 시그널 패킷을 수신하는 경우 수신한 SIP 시그널 패킷의 헤더를 분석하여 목적지(Destination) IP가 VoIP 단말(100)인지 확인하고 목적지 IP가 VoIP 단말(100)인 경우 소스 IP 주소와 세션을 요청하는 콜 ID 필드를 XOR한 결과값을 MD5 해시 함수를 이용하여 세션 ID를 계산한다(S100, S102).
제어부(130)는 수신한 SIP 시그널 패킷의 세션 정보가 세션 관리 테이블(120)에 있는지 검색하게 되고, 세션 관리 테이블(120)에 없는 경우 새로운 세션 정보로 판단하여 세션 관리 테이블(120)에 저장한다(S104, S106). 여기서, 세션 정보는 세션 ID와 세션 연결 요청수를 의미한다.
제어부(130)는 수신한 SIP 시그널 패킷의 세션 정보가 세션 관리 테이블(120)에 존재하는 경우 세션 정보 중 세션 연결 요청수가 연결 한계치를 넘었는지 판단하고, 연결 한계치를 넘은 경우 해당 SIP 시그널 패킷의 세션 요청을 차단한다(S104, S108 S110).
서비스 공격자는 VoIP 단말(100)에 대한 공격을 하기 위해서 사전에 단말(100)의 위치 정보(IP 주소)와 서비스 포트 번호를 취득해야 한다. 따라서, 서비스 공격자는 사전에 VoIP 시스템 정보를 파악하기 위해 각 시스템을 스캐닝하는 동작을 수행한다.
VoIP 단말(100)이 속해 있는 네트워크 장비(스위치, 라우터 등)에 공격 감지 기법을 적용한다.
공격자가 VoIP 단말 정보(IP 주소, 포트 정보)를 알기 위한 스캐닝 작업을 하게 되면 네트워크 장비에서 그 사실을 미리 파악하여 차단하게 되는 것이다.
다음, 도 3을 참조하여 서비스 거부 공격을 탐지하는 네트워크 장비를 상세하게 설명한다.
도 3은 본 발명의 실시예에 따른 서비스 거부 공격을 탐지하는 네트워크 장 비의 내부 구성을 간략하게 나타낸 블록 구성도이다.
본 발명의 실시예에 따른 네트워크 장비(200)는 패킷 처리부(210), 아이피 주소 스캐닝 감지부(220), 가용 포트 스캐닝 감지부(230), 네트워크 제어부(240) 및 스캐닝 테이블(250)을 포함한다.
패킷 처리부(210)는 SIP 시그널 패킷을 수신하는 경우 수신한 SIP 시그널 패킷의 헤더에서 소스 IP, 목적지 IP 및 목적지 포트 번호를 검색하여 스캐닝 테이블(250)에 저장한다. 이 때, 패킷 처리부(210)는 소스 IP와 목적지 IP 이외에 이러한 IP 주소를 정수 형태로 변환한 값을 함께 저장한다.
소스 IP와 목적지 IP는 IP 주소 형식(예를 들어, 111.111.111.111)을 가지고 있기 때문에 좌표의 X, Y 축에 매핑하기 위해서 IP 주소를 정수 형태로 변환하는 것이다.
아이피 주소 스캐닝 감지부(220)는 스캐닝 테이블(250)을 모니터링하여 동일한 소스 IP에서 전송되는 패킷들이 기설정된 타임아웃 시간 내에 목적지 IP 주소만 일정하게 변화하는지 패턴 정보를 파악한다.
공격자는 공격하려는 단말(100)이 특정 네트워크에 속해 있는 불특정 단말(100)인 경우, 먼저 특정 네트워크에 연결된 장비(PC, VoIP 단말(100), 기타 IP 장치)들 중에 어떤 장비 IP 주소를 갖는 장비가 VoIP 단말(100)인지 알아내는 과정이 필요하다.
한편, 통상적으로 VoIP 단말(100)이 사용하는 SIP 수신 포트 번호는 디폴트로 5060을 많이 사용한다.
이러한 사실을 이용하여 공격자는 공격하려는 특정 네트워크 범위에 속하는 IP 대역에 특정 포트로 반복적인 프루브(Probe) 패킷을 보내게 된다.
예를 들어, 공격자가 111.111.111.1 ~ 111.111.111.64의 네트워크 대역에 속해 있는 VoIP 단말(100)에 공격을 시도하려면 먼저, 111.111.111.1 ~ 111.111.111.64의 64개의 IP 주소에 각각 5060 포트로 프루브(Probe) 패킷을 전송하여 이에 대해 응답이 오는 IP 주소가 VoIP 단말(100)이 사용하고 있는 것으로 간주하는 것이다.
가용 포트 스캐닝 감지부(230)는 스캐닝 테이블(250)을 모니터링하여 동일한 소스 IP에서 전송되는 패킷들이 기설정된 타임아웃 시간 내에 목적지 포트 번호만 일정하게 변화하는지 패턴 정보를 파악한다.
전술한 바와 같이, 서비스 공격자는 VoIP 단말(100)의 IP 주소를 획득한 이후에 해당 단말(100)이 사용하는 세부 포트 정보를 획득하려고 시도할 것이다.
이를 위해서 추출한 IP 주소들 각각에 대해서 각 포트번호(예를 들어, 0~64000)의 포트로 프루브 패킷을 전송하여 이에 대해 응답이 오는 포트에 대해서만 단말(100)이 사용 중인 포트라는 것을 알 수 있다.
예를 들어, 공격자는 전술한 64개 IP 주소 중 응답이 오는 IP 주소가 111.111.111.10아라고 가정하면 이러한 IP 주소 각각에 대해서 0 ~ 64000 포트로 프루브 패킷을 보내고 응답이 오는 포트 번호에 대해서 VoIP 단말(100)이 사용하는 포트라고 인식하게 되는 것이다.
네트워크 제어부(240)는 공격자가 VoIP 단말(100)의 특정 IP 주소 및 사용 포트 리스트를 이용하여 공격할 가능성이 높기 때문에 동일한 소스 IP 주소에서 전송되는 패킷들의 세션 연결 요청을 차단한다.
네트워크 제어부(240)는 도 4 및 도 5에 도시된 바와 같이, 3차원의 X, Y, Z축에 소스 IP, 목적지 IP, 목적지 포트를 임의로 대응시키고 각 패킷마다 해당하는 3차원 좌표에서 하나의 점으로 매핑시켜 표시하며 각 점들이 일정한 시간동안(Timeout) 디스플레이되어 사라지는 방식으로 시각화한다.
스캐닝 테이블(250)은 각 패킷의 소스 IP, 목적지 IP, 목적지 포트 번호가 저장되어 있다.
다음, 도 6을 참조하여 네트워크 장비(200)를 이용하여 서비스 거부 공격을 탐지하는 방법을 상세하게 설명한다.
도 6은 본 발명의 실시예에 따른 네트워크 장비(200)를 이용하여 서비스 거부 공격을 탐지하는 방법을 설명하기 위한 도면이다.
패킷 처리부(210)는 SIP 시그널 패킷을 수신하는 경우 수신한 SIP 시그널 패킷의 헤더에서 소스 IP, 목적지 IP 및 목적지 포트 번호를 검색하여 스캐닝 테이블(250)에 저장한다(S200).
아이피 주소 스캐닝 감지부(220)는 스캐닝 테이블(250)을 모니터링하여 동일한 소스 IP에서 전송되는 패킷들이 기설정된 타임아웃 시간 내에 목적지 IP만 일정하게 변화하는지 패턴 정보를 파악한다(S202).
가용 포트 스캐닝 감지부(230)는 스캐닝 테이블(250)을 모니터링하여 동일한 소스 IP에서 전송되는 패킷들이 기설정된 타임아웃 시간 내에 목적지 포트 번호만 일정하게 변화하는지 패턴 정보를 파악한다(S204).
이상에서 설명한 본 발명의 실시예는 장치 및/또는 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하기 위한 프로그램, 그 프로그램이 기록된 기록 매체 등을 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
도 1은 본 발명의 실시예에 따른 서비스 거부 공격을 탐지하는 SIP 기반 VoIP 단말의 내부 구성을 간략하게 나타낸 블록 구성도이다.
도 2는 본 발명의 실시예에 따른 VoIP 단말을 이용하여 서비스 거부 공격을 탐지하는 방법을 설명하기 위한 도면이다.
도 3은 본 발명의 실시예에 따른 서비스 거부 공격을 탐지하는 네트워크 장비의 내부 구성을 간략하게 나타낸 블록 구성도이다.
도 4는 본 발명의 실시예에 따른 VoIP 시스템의 IP 주소를 검색하기 위한 스캐닝 공격의 시각화를 설명하기 위한 도면이다.
도 5는 본 발명의 실시예에 따른 VoIP 시스템의 가용 포트 번호를 검색하기 위한 스캐닝 공격의 시각화를 설명하기 위한 도면이다.
도 6은 본 발명의 실시예에 따른 네트워크 장비를 이용하여 서비스 거부 공격을 탐지하는 방법을 설명하기 위한 도면이다.

Claims (6)

  1. 세션 초기 프로토콜(Session Initiation Protocol) 메시지를 수신하는 경우 상기 수신한 세션 초기 프로토콜 메시지의 헤더―상기 헤더는 소스 아이피와 목적지 아이디 및 목적지 포트 번호를 포함함―에서 상기 소스 아이피, 상기 목적지 아이피 및 상기 목적 포트 번호를 검색하여 스캐닝 테이블에 저장하는 패킷 처리부;
    상기 스캐닝 테이블을 모니터링하여 동일한 소스 아이피에서 전송되는 패킷들이 기설정된 타임아웃 시간 내에 상기 목적지 아이피가 일정하게 변화하는지 제1 패턴 정보를 파악하는 아이피 주소 스캐닝 감지부;
    상기 스캐닝 테이블을 모니터링하여 동일한 소스 아이피에서 전송되는 패킷들이 기설정된 타임아웃 시간 내에 상기 목적지 포트 번호가 일정하게 변화하는지 제2 패턴 정보를 파악하는 가용 포트 스캐닝 감지부; 및
    상기 제1 패턴 정보 또는 상기 제2 패턴 정보가 감지되는 경우 상기 소스 아이피에서 전송되는 패킷들의 세션 연결 요청을 차단하는 제어부
    를 포함하는 서비스 거부 공격을 탐지하는 네트워크 장비.
  2. 제1 항에 있어서,
    상기 제어부는 상기 소스 아이피, 상기 목적지 아이피 및 상기 목적지 포트 번호를 3차원 좌표에 각각 매핑시켜 표시하고 일정한 시간동안 디스플레이되어 사라지는 방식으로 시각화하는 것을 특징으로 하는 네트워크 장비.
  3. (a) 세션 초기 프로토콜(Session Initiation Protocol) 메시지를 수신하는 경우 상기 수신한 세션 초기 프로토콜 메시지의 헤더―상기 헤더는 소스 아이피와 목적지 아이디 및 목적지 포트 번호를 포함함―에서 상기 소스 아이피, 상기 목적지 아이피 및 상기 목적 포트 번호를 스캐닝 테이블에 저장하는 단계;
    (b) 상기 스캐닝 테이블에서 상기 세션 초기 프로토콜 메시지 중 상기 소스 아이피가 동일한 패킷들이 기설정된 타임아웃(Timeout) 시간 내에 상기 목적지 아이피가 일정하게 변화하는지 패턴 정보를 파악하는 단계; 및
    (c) 상기 목적지 아이피가 일정하게 변화하는 것으로 감지되는 경우 특정 인터넷 아이피 프로토콜을 사용하는 단말에 대해 공격하기 위해 스캐닝되고 있다고 감지하는 단계
    를 포함하는 서비스 거부 공격 탐지 방법.
  4. 제3 항에 있어서,
    상기 (c)단계 이후에,
    상기 스캐닝 테이블에서 상기 세션 초기 프로토콜 메시지 중 상기 소스 아이피가 동일한 패킷들이 기설정된 타임아웃(Timeout) 시간 내에 상기 목적지 포트 번호가 일정하게 변화하는지 패턴 정보를 파악하는 단계; 및
    상기 목적지 포트 번호가 일정하게 변화하는 것으로 감지되는 경우 상기 특정 인터넷 아이피 프로토콜을 사용하는 단말에 대해 공격하기 위해 스캐닝되고 있 다고 감지하는 단계
    를 더 포함하는 서비스 거부 공격 탐지 방법.
  5. 세션 초기 프로토콜(Session Initiation Protocol) 메시지를 수신하는 경우 상기 수신한 세션 초기 프로토콜 메시지의 헤더 중 소스 아이피 주소와 콜 아이디 필드를 이용하여 세션 아이디를 생성하는 세션 ID 생성부;
    상기 수신한 세션 초기 프로토콜 메시지에 대한 상기 생성한 세션 아이디와 세션 연결 요청수를 저장하는 세션 관리 테이블; 및
    상기 세션 관리 테이블에서 상기 생성한 세션 아이디가 존재하는지 검색하고 상기 생성한 세션 아이디에 해당하는 상기 세션 연결 요청수를 모니터링하여 상기 세션 연결 요청수가 기설정된 연결 한계값을 넘어서는지 판단하여 상기 연결 한계값을 초과하는 경우 세션 연결 요청을 차단하는 제어부
    를 포함하는 서비스 거부 공격을 탐지하는 단말.
  6. (a) 세션 초기 프로토콜(Session Initiation Protocol) 메시지를 수신하는 경우 상기 수신한 세션 초기 프로토콜 메시지의 헤더―상기 헤더는 소스 IP, 목적지 IP 및 콜 아이디 필드를 포함함―를 분석하여 상기 목적지 IP가 인터넷 아이피 프로토콜을 사용하는 단말인지 판단하는 단계;
    (b) 상기 목적지 IP가 상기 인터넷 아이피 프로토콜을 사용하는 단말인 경우 상기 소스 IP와 상기 콜 아이디 필드를 이용하여 세션 아이디를 계산하는 단계;
    (c) 상기 수신한 세션 초기 프로토콜 메시지의 세션 정보―상기 세션 정보는 상기 세션 아이디와 세션 연결 요청수를 포함함―가 세션 관리 테이블에 존재하는지 검색하고 상기 세션 관리 테이블에 존재하는 경우 상기 세션 연결 요청수가 기설정된 연결 한계치를 초과하는지 판단하는 단계; 및
    (d) 상기 세션 연결 요청수가 상기 연결 한계치를 초과하는 경우 상기 수신한 세션 초기 프로토콜 메시지의 세션 연결 요청을 차단하는 단계
    를 포함하는 서비스 거부 공격 탐지 방법.
KR1020080130565A 2008-12-19 2008-12-19 서비스 거부 공격을 탐지하는 단말, 네트워크 장비 및 방법 KR20100071747A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080130565A KR20100071747A (ko) 2008-12-19 2008-12-19 서비스 거부 공격을 탐지하는 단말, 네트워크 장비 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080130565A KR20100071747A (ko) 2008-12-19 2008-12-19 서비스 거부 공격을 탐지하는 단말, 네트워크 장비 및 방법

Publications (1)

Publication Number Publication Date
KR20100071747A true KR20100071747A (ko) 2010-06-29

Family

ID=42369186

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080130565A KR20100071747A (ko) 2008-12-19 2008-12-19 서비스 거부 공격을 탐지하는 단말, 네트워크 장비 및 방법

Country Status (1)

Country Link
KR (1) KR20100071747A (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447677B1 (ko) * 2012-05-09 2014-10-07 주식회사 윈스 감염 이동단말의 탐지 및 제어 장치
KR101447685B1 (ko) * 2012-05-09 2014-10-07 주식회사 윈스 전송패킷 내용정보 기반 감염 이동단말의 탐지 및 제어 장치
US8943586B2 (en) 2011-07-29 2015-01-27 Electronics And Telecommunications Research Institute Methods of detecting DNS flooding attack according to characteristics of type of attack traffic
KR101650475B1 (ko) * 2016-04-01 2016-09-05 주식회사 엘리바이저 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치
KR101658450B1 (ko) * 2016-04-01 2016-09-21 이석우 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
WO2017171188A1 (ko) * 2016-04-01 2017-10-05 주식회사 엘리바이저 웹 애플리케이션 서버 또는 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치
CN115914046A (zh) * 2021-08-10 2023-04-04 国家计算机网络与信息安全管理中心 VoIP网关识别方法、装置、设备和存储介质

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8943586B2 (en) 2011-07-29 2015-01-27 Electronics And Telecommunications Research Institute Methods of detecting DNS flooding attack according to characteristics of type of attack traffic
KR101447677B1 (ko) * 2012-05-09 2014-10-07 주식회사 윈스 감염 이동단말의 탐지 및 제어 장치
KR101447685B1 (ko) * 2012-05-09 2014-10-07 주식회사 윈스 전송패킷 내용정보 기반 감염 이동단말의 탐지 및 제어 장치
KR101650475B1 (ko) * 2016-04-01 2016-09-05 주식회사 엘리바이저 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치
KR101658450B1 (ko) * 2016-04-01 2016-09-21 이석우 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
WO2017171188A1 (ko) * 2016-04-01 2017-10-05 주식회사 엘리바이저 웹 애플리케이션 서버 또는 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치
US10728267B2 (en) 2016-04-01 2020-07-28 Elevisor Co., Ltd. Security system using transaction information collected from web application server or web server
CN115914046A (zh) * 2021-08-10 2023-04-04 国家计算机网络与信息安全管理中心 VoIP网关识别方法、装置、设备和存储介质

Similar Documents

Publication Publication Date Title
US8670316B2 (en) Method and apparatus to control application messages between client and a server having a private network address
US10469507B2 (en) Malicious encrypted network traffic identification
KR20100071747A (ko) 서비스 거부 공격을 탐지하는 단말, 네트워크 장비 및 방법
KR20230048334A (ko) 사이버보안 애플리케이션에 대한 효율적인 암호화된 sni 필터링을 위한 방법 및 시스템
Alt et al. Uncovering network tarpits with degreaser
US20070067839A1 (en) Method and system for detecting denial-of-service attack
US20070101154A1 (en) Methods, systems, and computer program products for associating an originator of a network packet with the network packet using biometric information
WO2015128609A1 (en) Profiling for malicious encrypted network traffic identification
WO2015128612A1 (en) Malicious encrypted traffic inhibitor
KR20130068631A (ko) 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법
Pandey Prevention of ARP spoofing: A probe packet based technique
Hao et al. {End-Users} get maneuvered: Empirical analysis of redirection hijacking in content delivery networks
Ehlert et al. Two layer Denial of Service prevention on SIP VoIP infrastructures
Park et al. Session management for security systems in 5g standalone network
Luckie et al. Resilience of deployed TCP to blind attacks
d'Estalenx et al. NURSE: eNd-UseR IoT malware detection tool for Smart homEs
De Montigny-Leboeuf et al. Passive network discovery for real time situation awareness
Dassouki et al. Protecting from Cloud-based SIP flooding attacks by leveraging temporal and structural fingerprints
Kumar et al. An innovative UDP port scanning technique
US10015179B2 (en) Interrogating malware
Wong et al. An efficient distributed algorithm to identify and traceback ddos traffic
KR101188308B1 (ko) 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법
Oliveira et al. Investigation of amplification-based DDoS attacks on IoT devices
Albers et al. An analysis of security threats and tools in SIP-based VoIP Systems
GB2418563A (en) Monitoring for malicious attacks in a communications network

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid