KR20110059963A - 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템 - Google Patents

유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템 Download PDF

Info

Publication number
KR20110059963A
KR20110059963A KR1020090116419A KR20090116419A KR20110059963A KR 20110059963 A KR20110059963 A KR 20110059963A KR 1020090116419 A KR1020090116419 A KR 1020090116419A KR 20090116419 A KR20090116419 A KR 20090116419A KR 20110059963 A KR20110059963 A KR 20110059963A
Authority
KR
South Korea
Prior art keywords
traffic
client
captcha
harmful
authentication
Prior art date
Application number
KR1020090116419A
Other languages
English (en)
Inventor
박봉희
정규태
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020090116419A priority Critical patent/KR20110059963A/ko
Publication of KR20110059963A publication Critical patent/KR20110059963A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0888Throughput
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템이 개시된다. 본 발명의 일 실시예에 따른 유해 트래픽 차단 방법은, 클라이언트에서 서비스 제공 서버로 향하는 트래픽 양이 기설정된 트래픽 양을 초과하면 이상 트래픽 감지 신호를 발생시키고, CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart) 인증을 수행하여 정상 클라이언트와 좀비 클라이언트를 구분하며, 좀비 클라이언트에서 발생한 트래픽은 유해 트래픽으로 판단하여 차단한다.
좀비 클라이언트, DDOS 공격, 차단, CAPTCHA

Description

유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템{APPARATUS AND METHOD FOR BLOCKING HARMFUL TRAFFIC AND SYSTEM FOR BLOCKING HARMFUL TRAFFIC USING THE SAME}
본 발명의 실시예들은 분산 서비스 거부 공격과 같은 사이버 공격을 효율적으로 차단시킬 수 있는 기술에 관한 것이다.
최근 인터넷 기술의 발달로 인해 인터넷 사용이 급격히 증가하고 있으며, 인터넷을 이용한 다양한 응용 기술들이 개발되고 있다. 이에 따라 인터넷 상에서 이루어지는 사이버 공격의 발생 빈도도 점점 증가하고 있으며, 그로 인해 입게 되는 피해의 규모도 이전과는 비교할 수 없을 정도로 커지고 있다.
또한, 사이버 공격의 수준을 보면, 기존의 가입자 단에 위치하는 시스템들을 목표로 하는 공격에서 네트워크 자체의 운용 및 성능에 영향을 미쳐 결과적으로 네트워크 서비스 제공 자체를 위협하는 수준에 이르는 등 심각한 문제점을 야기시키고 있다.
예를 들어, 분산 서비스 거부(Distributed Denied Of Service : 이하 'DDOS'라 한다) 공격은 매우 심각한 네트워크 보안 문제로 인식되고 있다. DDOS 공격은 다수의 좀비(Zombie) 컴퓨터가 인터넷 상의 특정 웹 서버 및 네트워크를 향해 순간적으로 다량의 데이터를 연속하여 전송 또는 요청함으로써, 해당 시스템 및 네트워크가 정상적으로 동작하지 못하도록 하는 것을 말한다.
DDOS 공격은 정상적인 트래픽과 구별하기가 힘들어 사전에 예측하기가 어려운 점이 있다. 예를 들어, DNS 서버에 대해 DDOS 공격이 실행된다고 가정하면, 공격을 받는 DNS 서버는 정상적인 DNS 쿼리와 DDOS 공격을 위한 DNS 쿼리를 구분할 방법이 없다. 그렇다고 DDOS 공격이 의심된다고 하여 무조건 서비스 요청을 차단하면, 정상적인 사용자의 서비스 요청도 응할 수 없는 문제점이 있다.
DDOS 공격은 다량의 유해 트래픽을 네트워크에 유입시켜 망 전체의 자원을 고갈시키는 대역폭 소모형 공격 추세로 발전되고 있어, 네트워크 보안 측면 뿐만 아니라 기존의 네트워크 자원 관리 측면에서도 매우 심각한 문제를 유발시키고 있다.
따라서, DDOS 공격을 비롯한 여러 사이버 공격의 유해 트래픽을 감지하여, 유해 트래픽의 해당 네트워크로의 유입을 차단하는 방안이 요구된다.
본 발명의 실시예들은 클라이언트에서 서비스 제공 서버로 향하는 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, CAPTCHA 인증을 수행하여 정상 클라이언트와 좀비 클라이언트를 구분함으로써, 좀비 클라이언트의 DDOS 공격을 차단하고자 한다.
본 발명의 실시예들에 의한 다른 기술적 해결 과제는 하기의 설명에 의해 이해될 수 있으며, 이는 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있다.
본 발명의 일 실시예에 따른 유해 트래픽 차단 장치는, 클라이언트의 트래픽을 서비스 제공 서버로 전달하고, 상기 트래픽에 대한 상기 서비스 제공 서버의 응답을 상기 클라이언트로 전달하는 투명 프록시 부; 상기 클라이언트에서 상기 서비스 제공 서버로 전달되는 트래픽 양을 모니터링하여 기설정된 트래픽 양을 초과하면, 이상 트래픽 감지 신호를 발생시키는 트래픽 모니터부; 상기 이상 트래픽 감지 신호가 발생한 이후, 상기 클라이언트로부터 전송되는 트래픽에 대해 CAPTCHA 인증을 수행하는 CAPTCHA 인증부; 및 상기 각 구성 요소를 제어하며, 상기 CAPTCHA 인증을 통과한 트래픽은 상기 서비스 제공 서버로 전달하고, 상기 CAPTCHA 인증을 통과하지 못한 트래픽은 유해 트래픽으로 판단하여 차단하는 제어부를 포함한다.
본 발명의 다른 실시예에 따른 유해 트래픽 차단 장치는, 클라이언트에서 발생하여 서비스 제공 서버로부터 우회 처리된 트래픽에 대해 CAPTCHA 인증을 수행하는 CAPTCHA 인증부; 및 상기 CAPTCHA 인증을 통과하지 못한 트래픽은 유해 트래픽으로 판단하여 차단하는 제어부를 포함한다.
본 발명의 일 실시예에 따른 유해 트래픽 차단 시스템은, 소정 서비스를 요청하는 트래픽을 발생시키는 클라이언트; 상기 클라이언트의 요청에 따라 해당 서비스를 제공하며, 자체 성능 저하 여부를 확인하여 상기 클라이언트로부터 전송된 트래픽을 우회 처리하는 서비스 제공 서버; 및 상기 우회 처리된 트래픽에 대해 CAPTCHA 인증을 수행하여, 상기 CAPTCHA 인증을 통과하지 못한 트래픽은 차단하는 유해 트래픽 차단 장치를 포함한다.
본 발명의 일 실시예에 따른 유해 트래픽 차단 방법은, (A) 트래픽 모니터부가 클라이언트에서 서비스 제공 서버로 전달되는 트래픽 양이 기설정된 트래픽 양을 초과하는지 여부를 확인하는 단계; (B) 상기 클라이언트에서 상기 서비스 제공 서버로 전달되는 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, 상기 트래픽 모니터부가 이상 트래픽 감지 신호를 발생하는 단계; (C) 상기 이상 트래픽 감지 신호가 발생하는 경우, 제어부가 상기 트래픽을 전송한 클라이언트의 소스 아이피가 데이터베이스의 화이트 리스트 또는 블랙 리스트에 저장되어 있는지 여부를 확인하는 단계; (D) 상기 클라이언트의 소스 아이피가 상기 데이터베이스의 화이트 리스트 또는 블랙 리스트에 저장되어 있지 않은 경우, CAPTCHA 인증부가 상기 클라이언트로부터 전송되는 트래픽에 대해 CAPTCHA 인증을 수행하는 단계; 및 (E) 제어 부가 상기 CAPTCHA 인증 결과에 따라, 해당 트래픽의 차단 여부를 결정하는 단계를 포함한다.
본 발명의 다른 실시예에 따른 유해 트래픽 차단 방법은, (a) 서비스 제공 서버가 자체 성능이 저하되는지 여부를 확인하는 단계; (b) 상기 자체 성능이 저하된 경우, 상기 서비스 제공 서버가 클라이언트로부터 전송되는 트래픽을 유해 트래픽 차단 장치로 우회시키는 단계; (c) 유해 트래픽 차단 장치가 상기 우회 처리된 트래픽을 전송한 클라이언트의 소스 아이피가 데이터베이스의 화이트 리스트 또는 블랙 리스트에 저장되어 있는지 여부를 확인하는 단계; (d) 상기 클라이언트의 소스 아이피가 상기 데이터베이스의 화이트 리스트 또는 블랙 리스트에 저장되어 있지 않은 경우, 상기 유해 트래픽 차단 장치가 상기 클라이언트로부터 전송되는 트래픽에 대해 CAPTCHA 인증을 수행하는 단계; 및 (e) 상기 유해 트래픽 차단 장치가 상기 CAPTCHA 인증 결과에 따라, 해당 트래픽의 차단 여부를 결정하는 단계를 포함한다.
본 발명의 실시예들에 의하면, CAPTCHA 인증을 통해 정상 클라이언트와 좀비 클라이언트를 구분함으로써, 좀비 클라이언트를 이용한 DDOS 공격을 효과적으로 차단할 수 있다. 이 경우, 현재까지 발견되지 않았지만 좀비 클라이언트를 이용하는 다양한 DDOS 공격에도 간단히 대응할 수 있다.
그리고, 좀비 클라이언트와 같은 악성 봇(BOT) PC를 이용하더라도 정상적인 사용자가 접속을 원하는 경우에는 서비스 제공 서버로의 접속을 허용하도록 함으로써, 다양한 상황에 유연하게 대처할 수 있다.
이하, 도 1 내지 도 5를 참조하여 본 발명의 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템의 구체적인 실시예를 설명하기로 한다. 그러나 이는 예시적 실시예에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
또한, 이하 실시되는 본 발명의 실시예는 본 발명을 이루는 기술적 구성요소를 효율적으로 설명하기 위해 각각의 시스템 기능구성에 기 구비되어 있거나, 또는 본 발명이 속하는 기술분야에서 통상적으로 구비되는 시스템 기능 구성은 가능한 생략하고, 본 발명을 위해 추가적으로 구비되어야 하는 기능 구성을 위주로 설명한다. 만약 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 하기에 도시하지 않고 생략된 기능 구성 중에서 종래에 기 사용되고 있는 구성요소의 기능을 용이하게 이해할 수 있을 것이며, 또한 상기와 같이 생략된 구성 요소와 본 발명을 위해 추가된 구성 요소 사이의 관계도 명백하게 이해할 수 있을 것이다.
이하의 설명에 있어서, 신호 또는 정보의 "전송", "통신", "송신", "수신" 기타 이와 유사한 의미의 용어는 일 구성요소에서 다른 구성요소로 신호 또는 정보가 직접 전달되는 것뿐만이 아니라 다른 구성요소를 거쳐 전달되는 것도 포함한다. 특히 신호 또는 정보를 일 구성요소로 "전송" 또는 "송신"한다는 것은 그 신호 또는 정보의 최종 목적지를 지시하는 것이고 직접적인 목적지를 의미하는 것이 아니다. 이는 신호 또는 정보의 "수신"에 있어서도 동일하다.
결과적으로, 본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하 실시예는 진보적인 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
도 1은 본 발명의 일 실시예에 따른 DDOS 공격 차단 시스템을 나타낸 도면이다.
도 1을 참조하면, 클라이언트(110), 유해 트래픽 차단 장치(120), 및 서비스 제공 서버(130)를 포함한다.
상기 클라이언트(110)는 웹 페이지나 콘텐츠 등 서비스 제공 요청을 하는 트래픽을 발생시킨다. 상기 클라이언트(110)는 PC(Personal Computer), 노트북, PDA(Personal Digital Assistant) 및 모바일 폰 등과 같은 디지털 처리 장치일 수 있다.
상기 클라이언트(110)는 통신망(미도시)을 통해 상기 서비스 제공 서버(130) 로부터 요청한 서비스를 제공받는다. 이때, 상기 통신망(미도시)은 온라인 및 이동 통신망 등 다양한 종류의 통신망일 수 있으며, 통신망의 종류나 형태에는 아무런 제한이 없다.
상기 클라이언트(110)는 정상적인 트래픽을 발생시키는 정상 클라이언트(111)일 수도 있고, 비정상적인 트래픽(예를 들어, DDOS 공격을 위한 트래픽)을 발생시키는 좀비(Zombie) 클라이언트(114)일 수도 있다. 이때, 상기 정상 클라이언트(111) 및 좀비 클라이언트(114)는 복수 개가 있을 수 있다.
상기 유해 트래픽 차단 장치(120)는 상기 서비스 제공 서버(130)의 전단에 설치된다. 상기 유해 트래픽 차단 장치(120)는 상기 서비스 제공 서버(130)로 향하는 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart) 인증을 수행한 후, 상기 CAPTCHA 인증을 통과하지 못한 트래픽은 유해 트래픽으로 판단하여 차단시킨다.
상기 유해 트래픽 차단 장치(120)는 투명 프록시 부(121), 트래픽 모니터부(123), CAPTCHA 인증부(125), 데이터베이스(127), 및 제어부(129)를 포함한다.
상기 투명 프록시 부(121)는 평상시(즉, 후술하는 이상 트래픽 감지 신호가 발생하지 않을 때)에 상기 정상 클라이언트(110)의 정상 트래픽을 상기 서비스 제공 서버(130)로 전달하고, 상기 정상 트래픽에 대한 상기 서비스 제공 서버(130)의 응답(예를 들어, 웹 페이지 또는 콘텐츠 등)을 상기 정상 클라이언트(111)로 전달한다.
이때, 상기 투명 프록시 부(121)는 투명 프록시(Transparent Proxy)로 동작한다. 따라서, 상기 정상 클라이언트(111)는 상기 정상 트래픽이 상기 투명 프록시 부(121)를 통해 상기 서비스 제공 서버(130)로 전달되는 사실을 알지 못하며, 상기 서비스 제공 서버(130)는 상기 정상 트래픽에 대한 응답이 상기 투명 프록시 부(121)를 통해 상기 정상 클라이언트(111)로 전달되는 것을 알지 못한다.
상기 트래픽 모니터부(123)는 상기 클라이언트(110)에서 상기 서비스 제공 서버(130)로 전송되는 트래픽 양을 실시간으로 모니터링하여, 상기 트래픽 양이 기설정된 트래픽 양을 초과하는지 여부를 확인한다.
상기 트래픽 모니터부(123)는 상기 클라이언트(110)에서 상기 서비스 제공 서버(130)로 전송되는 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, 이상 트래픽 감지 신호를 발생시켜 상기 제어부(129)로 전달한다.
상기 CAPTCHA 인증부(125)는 상기 이상 트래픽 감지 신호가 발생하는 경우, 상기 클라이언트(110)로부터 전송되는 트래픽(예를 들어, HTTP GET 등)에 대해 CAPTCHA 인증을 수행한다.
상기 CAPTCHA는 상기 클라이언트(110)의 사용자가 사람인지 아니면 컴퓨터 프로그램인지를 구별하기 위한 일종의 암호화 코드로서, 도 2에 도시된 바와 같이 사람은 구별할 수 있지만 컴퓨터 프로그램은 구별하기 힘들게 의도적으로 비틀어 놓은 그림을 제시하고 해당 그림에 쓰여 있는 내용을 물어보는 방법이 주로 사용된다.
구체적으로, 상기 CAPTCHA 인증부(125)는 상기 이상 트래픽 감지 신호가 발생하는 경우, 상기 클라이언트(110)의 트래픽에 대한 응답으로 상기 클라이언트(110)가 CAPTCHA 인증을 수행하는 인증 웹 페이지에 접속되도록 한다.
즉, 상기 CAPTCHA 인증부(125)는 상기 서비스 제공 서버(130)의 디폴트 페이지(Default Page)를 요청하는 상기 클라이언트(110)의 HTTP GET에 대해, HTTP 리다이렉트(HTTP Redirect) 기술을 이용하여 상기 디폴트 페이지에 대한 접속을 상기 인증 웹 페이지에 대한 접속으로 우회시킨다.
예를 들어, 상기 서비스 제공 서버(130)의 디폴트 페이지가 www.test.com이고, 상기 인증 웹 페이지가 www.test.com/auth.asp인 경우, 상기 CAPTCHA 인증부(125)는 상기 클라이언트(110)의 디폴트 페이지(www.test.com)에 대한 요청을 HTTP 리다이렉트하여 인증 웹 페이지(www.test.com/auth.asp)로 접속되도록 한다.
이때, 상기 클라이언트(110)가 정상 클라이언트(111)인 경우(즉, 사람이 사용자인 경우)는 상기 CAPTCHA 인증에 대해 응답하여 상기 CAPTCHA 인증을 통과할 것이고, 상기 클라이언트(110)가 좀비 클라이언트(114)인 경우는 상기 CAPTCHA 인증을 인식하지 못하므로 상기 CAPTCHA 인증을 통과하지 못하게 된다.
상기 CAPTCHA 인증부(125)는 한 번의 CAPTCHA 인증을 수행한 후 상기 CAPTCHA 인증을 통과하지 못한 트래픽을 유해 트래픽으로 판단할 수도 있지만, 기 설정된 횟수 동안 상기 CAPTCHA 인증을 수행하여 계속적으로 상기 CAPTCHA 인증을 통과하지 못한 트래픽을 유해 트래픽으로 판단할 수도 있다.
상기 데이터베이스(127)는 상기 CAPTCHA 인증을 수행한 상기 클라이언트(110)들의 소스 아이피(Source IP)를 저장한다. 이때, 상기 데이터베이스(127)는 상기 CAPTCHA 인증을 통과한 클라이언트(110)들의 소스 아이피 및 상기 CAPTCHA 인증을 통과하지 못한 클라이언트(110)들의 소스 아이피를 구분하여 저장할 수 있다.
상기 제어부(129)는 상기 각 구성 요소를 제어한다. 예를 들어, 상기 제어부(129)는 상기 트래픽 모니터부(123)로부터 이상 트래픽 감지 신호가 전송되지 않는 한, 상기 클라이언트(110)로부터 전송되는 트래픽을 상기 서비스 제공 서버(130)로 전달하고, 상기 트래픽에 대한 상기 서비스 제공 서버(130)의 응답을 상기 클라이언트(110)로 전달하도록 상기 투명 프록시 부(121)를 제어한다.
즉, 상기 유해 트래픽 차단 장치(120)의 CAPTCHA 인증 기능은 상기 이상 트래픽 감지 신호가 발생하기 전에는 비활성화된 상태로 있게 되고, 상기 이상 트래픽 감지 신호가 발생하면 활성화된다.
상기 제어부(129)는 상기 트래픽 모니터부(123)로부터 이상 트래픽 감지 신호가 전송되는 경우, 상기 클라이언트(110)의 트래픽에 대한 응답으로 상기 클라이언트(110)가 인증 웹 페이지에 접속하여 CAPTCHA 인증을 수행하도록 상기 CAPTCHA 인증부(125)를 제어한다.
상기 제어부(129)는 상기 CAPTCHA 인증을 수행한 상기 클라이언트(110)들의 소스 아이피(Source IP)를 상기 데이터베이스(127)에 저장한다. 이때, 상기 제어부(129)는 상기 CAPTCHA 인증을 통과한 클라이언트(110)들의 소스 아이피 및 상기 CAPTCHA 인증을 통과하지 못한 클라이언트(110)들의 소스 아이피를 구분하여 저장한다.
여기서, 상기 데이터베이스(127)에 저장된 CAPTCHA 인증을 통과한 클라이언트(110)들의 소스 아이피 목록을 화이트 리스트(White List)라고 하고, 상기 데이터베이스(127)에 저장된 CAPTCHA 인증을 통과하지 못한 클라이언트(110)들의 소스 아이피 목록을 블랙 리스트(Black List)라고 한다. 상기 제어부(129)는 상기 클라이언트(110)의 소스 아이피를 상기 화이트 리스트 또는 블랙 리스트에 등록할 때, 해당 리스트에 등록되는 시간을 함께 기록한다.
상기 클라이언트(110)의 소스 아이피가 상기 화이트 리스트에 등록되면, 상기 제어부(129)는 상기 화이트 리스트에 등록된 순간부터 기설정된 시간(예를 들어, 10분) 동안 상기 클라이언트(110)로부터 전송되는 트래픽에 대해 상기 CAPTCHA 인증을 수행하지 않고, 상기 트래픽을 통과시켜 상기 서비스 제공 서버(130)로 전달할 수 있다.
또한, 클라이언트(110)의 소스 아이피가 상기 블랙 리스트에 등록되면, 상기 제어부(129)는 상기 블랙 리스트에 등록된 순간부터 기설정된 시간(예를 들어, 10분) 동안 상기 클라이언트(110)로부터 전송되는 트래픽에 대해 별도의 CAPTCHA 인증을 수행하지 않고 트래픽을 차단시킬 수 있다.
구체적으로, 상기 제어부(129)는 상기 이상 트래픽 감지 신호가 발생하면, 해당 트래픽을 전송한 클라이언트(110)의 소스 아이피가 상기 데이터베이스(127)에 저장되어 있는지 여부를 확인하여, 해당 트래픽을 전송한 클라이언트(110)의 소스 아이피가 상기 데이터베이스(127)에 저장되어 있지 않는 경우, 상기 CAPTCHA 인증을 수행하도록 상기 CAPTCHA 인증부(125)를 제어한다.
상기 확인 결과, 해당 트래픽을 전송한 클라이언트(110)의 소스 아이피가 상기 데이터베이스(127)에 저장되어 있는 경우, 상기 제어부(129)는 해당 트래픽을 전송한 클라이언트(110)의 소스 아이피가 상기 화이트 리스트 및 상기 블랙 리스트 중 어느 리스트에 저장되어 있는지를 확인하여, 해당 트래픽을 통과 또는 차단시킨다.
예를 들어, 해당 트래픽을 전송한 클라이언트(110)의 소스 아이피가 상기 화이트 리스트에 저장되어 있는 경우, 상기 제어부(129)는 해당 트래픽이 상기 클라이언트(110)의 소스 아이피가 상기 화이트 리스트에 등록된 순간부터 기설정된 시간 이내에 전송된 것인지를 확인하여, 기설정된 시간 이내에 전송되었으면 해당 트래픽을 바로 통과시키고, 기설정된 시간을 초과하여 전송되었으면 다시 CAPTCHA 인증을 수행하도록 한다.
또한, 해당 트래픽을 전송한 클라이언트(110)의 소스 아이피가 상기 블랙 리스트에 저장되어 있는 경우, 상기 제어부(129)는 해당 트래픽이 상기 클라이언트(110)의 소스 아이피가 상기 블랙 리스트에 등록된 순간부터 기설정된 시간 이내에 전송된 것인지를 확인하여, 기설정된 시간 이내에 전송되었으면 해당 트래픽을 차단시키고, 기설정된 시간을 초과하여 전송되었으면 다시 CAPTCHA 인증을 수행하도록 한다.
상기 유해 트래픽 차단 장치(120)는 상기 좀비 클라이언트(114)의 DDOS 공격을 수용할 수 있는 고대역폭 및 고가용성의 서버를 이용할 수 있다. 이때, 상기 유해 트래픽 차단 장치(120)는 하나의 서버로 구현할 수도 있지만, 여러 개의 서버를 연계하여 구현할 수도 있다.
상기 여러 개의 서버를 연계하여 상기 유해 트래픽 차단 장치(120)를 구현하는 경우, 각 서버마다 데이터베이스가 별도로 구비되어 있으므로 각 데이터베이스를 동기화시켜 각 서버들이 데이터를 공유할 수 있도록 한다.
상기 서비스 제공 서버(130)는 상기 정상 클라이언트(111)가 요청하는 웹 페이지 또는 콘텐츠 등을 제공하는 서버이며, 또한 상기 좀비 클라이언트(114)의 DDOS 공격 대상이 되는 서버이다.
상기 서비스 제공 서버(130)는 하나의 서버일 수 있으나, 하나 이상의 서버를 포함하여 소정의 서비스를 제공하는 시스템일 수도 있다. 그러나, 상기 서비스 제공 서버(130)는 이에 한정되는 것은 아니며, 상기 좀비 클라이언트(114)의 공격 대상이 되는 다양한 종류의 서버, 시스템 또는 네트워크일 수 있다.
도 3은 본 발명의 일 실시예에 따른 유해 트래픽 차단 방법을 나타낸 순서도 이다.
도 3을 참조하면, 트래픽 모니터부(123)가 클라이언트(110)에서 서비스 제공 서버(130)로 전송되는 트래픽 양을 실시간 모니터링하여(S 100), 상기 트래픽 양이 기설정된 트래픽 양을 초과하는지 여부를 확인한다(S 101).
상기 단계 S 101의 확인 결과, 상기 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, 상기 트래픽 모니터부(123)는 이상 트래픽 감지 신호를 발생시켜 제어부(129)로 전달한다(S 102).
상기 제어부(129)는 상기 트래픽을 전송한 클라이언트(110)의 소스 아이피(Source IP)를 확인하여, 해당 클라이언트(110)의 소스 아이피가 데이터베이스(127)의 화이트 리스트 또는 블랙 리스트에 저장되어 있는지 여부를 확인한다(S 103).
상기 단계 S 103의 확인 결과, 해당 클라이언트(110)의 소스 아이피가 상기 데이터베이스(127)에 저장되어 있지 않는 경우, 상기 제어부(129)는 상기 클라이언트(110)가 인증 웹 페이지(즉, CAPTCHA 인증을 수행하기 위한 웹 페이지)로 접속하도록 상기 CAPTCHA 인증부(125)를 제어한다(S 104).
예를 들어, 상기 제어부(129)는 상기 CAPTCHA 인증부(125)를 통해, 상기 서비스 제공 서버(130)의 디폴트 페이지(Default Page)를 요청하는 상기 클라이언트(110)의 트래픽에 대해, HTTP 리다이렉트 기술을 이용하여 상기 디폴트 페이지에 대한 접속을 상기 인증 웹 페이지에 대한 접속으로 우회시킨다.
상기 제어부(129)는 상기 클라이언트(110)가 상기 CAPTCHA 인증을 통과하는 지 여부를 확인하여(S 105), 상기 클라이언트(110)가 상기 CAPTCHA 인증을 통과하는 경우, 상기 클라이언트(110)의 트래픽을 상기 서비스 제공 서버(130)로 전달한다(S 106). 이때, 상기 제어부(129)는 상기 CAPTCHA 인증을 통과한 클라이언트(110)의 소스 아이피를 데이터베이스(127)의 화이트 리스트에 등록한다.
상기 단계 S 105의 확인 결과, 상기 클라이언트(110)가 상기 CAPTCHA 인증을 통과하지 못하는 경우, 상기 클라이언트(110)의 트래픽을 유해 트래픽으로 판단하여 차단시킨다(S 107). 이때, 상기 제어부(129)는 상기 CAPTCHA 인증을 통과하지 못한 클라이언트(110)의 소스 아이피를 데이터베이스(127)의 블랙 리스트에 등록한다.
상기 단계 S 103의 확인 결과, 해당 클라이언트(110)의 소스 아이피가 상기 데이터베이스(127)의 화이트 리스트에 저장되어 있는 경우, 상기 제어부(129)는 해당 클라이언트(110)로부터 전송된 트래픽이 상기 클라이언트(110)의 소스 아이피가 상기 화이트 리스트에 등록된 순간부터 기설정된 시간 이내에 전송된 것인지 여부를 확인한다(S 108).
상기 단계 S 108의 확인 결과, 상기 트래픽이 상기 클라이언트(110)의 소스 아이피가 상기 화이트 리스트에 등록된 순간부터 기설정된 시간 이내에 전송된 것인 경우, 상기 제어부(129)는 해당 트래픽을 상기 서비스 제공 서버(130)로 전달하도록 투명 프록시 부(121)를 제어한다(S 109).
상기 단계 S 108의 확인 결과, 상기 트래픽이 상기 클라이언트(110)의 소스 아이피가 상기 화이트 리스트에 등록된 순간부터 기설정된 시간을 초과하여 전송된 것인 경우, 상기 단계 S 104로 돌아가 그 이후의 과정을 수행한다.
상기 단계 S 103의 확인 결과, 해당 클라이언트(110)의 소스 아이피가 상기 데이터베이스(127)의 블랙 리스트에 저장되어 있는 경우, 상기 제어부(129)는 해당 클라이언트(110)로부터 전송된 트래픽이 상기 클라이언트(110)의 소스 아이피가 상기 블랙 리스트에 등록된 순간부터 기설정된 시간 이내에 전송된 것인지 여부를 확인한다(S 110).
상기 단계 S 110의 확인 결과, 상기 트래픽이 상기 클라이언트(110)의 소스 아이피가 상기 블랙 리스트에 등록된 순간부터 기설정된 시간 이내에 전송된 것인 경우, 상기 제어부(129)는 해당 트래픽을 유해 트래픽으로 판단하여 차단시킨다(S 111).
상기 단계 S 110의 확인 결과, 상기 트래픽이 상기 클라이언트(110)의 소스 아이피가 상기 블랙 리스트에 등록된 순간부터 기설정된 시간을 초과하여 전송된 것인 경우, 상기 단계 S 104로 돌아가 그 이후의 과정을 수행한다.
도 4는 본 발명의 다른 실시예에 따른 DDOS 공격 차단 시스템을 나타낸 도면이다.
도 4를 참조하면, 클라이언트(210), 서비스 제공 서버(220), 및 유해 트래픽 차단 장치(230)를 포함한다.
상기 클라이언트(210)는 웹 페이지나 콘텐츠 등 서비스 제공 요청을 하는 트래픽을 발생시킨다. 상기 클라이언트(210)는 PC(Personal Computer), 노트북, PDA(Personal Digital Assistant) 및 모바일 폰 등과 같은 디지털 처리 장치일 수 있다.
상기 클라이언트(210)는 통신망(미도시)을 통해 상기 서비스 제공 서버(230)로부터 요청한 서비스를 제공받는다. 이때, 상기 통신망(미도시)은 온라인 및 이동 통신망 등 다양한 종류의 통신망일 수 있으며, 통신망의 종류나 형태에는 아무런 제한이 없다.
상기 클라이언트(210)는 정상적인 트래픽을 발생시키는 정상 클라이언트(211)일 수도 있고, 비정상적인 트래픽(예를 들어, DDOS 공격을 위한 트래픽)을 발생시키는 좀비(Zombie) 클라이언트(214)일 수도 있다. 이때, 상기 정상 클라이언트(211) 및 좀비 클라이언트(214)는 복수 개가 있을 수 있다.
상기 서비스 제공 서버(220)는 상기 정상 클라이언트(211)가 요청하는 웹 페이지 또는 콘텐츠 등을 제공하는 서버이며, 또한 상기 좀비 클라이언트(214)의 DDOS 공격 대상이 되는 서버이다.
상기 서비스 제공 서버(220)는 하나의 서버일 수 있으나, 하나 이상의 서버를 포함하여 소정의 서비스를 제공하는 시스템일 수도 있다. 그러나, 상기 서비스 제공 서버(220)는 이에 한정되는 것은 아니며, 상기 좀비 클라이언트(214)의 공격 대상이 되는 다양한 종류의 서버, 시스템 또는 네트워크일 수 있다. 예를 들어, 상기 서비스 제공 서버(220)는 DNS(Domain Name Service)를 기반으로 하는 GSLB(Global Server Load Balancing) 시스템일 수 있다.
상기 서비스 제공 서버(220)는 성능 저하 확인부(221) 및 트래픽 우회 처리부(224)를 포함한다.
상기 성능 저하 확인부(221)는 상기 서비스 제공 서버(220)의 성능을 실시간 검사하여 상기 서비스 제공 서버(220)의 성능이 저하되는지 여부를 확인한다. 예를 들어, 상기 성능 저하 확인부(221)는 상기 좀비 클라이언트(214)의 DDOS 공격 등으로 상기 서비스 제공 서버(220)의 응답 시간이 기설정된 값을 초과하는지 여부를 확인한다.
상기 트래픽 우회 처리부(224)는 상기 성능 저하 확인부(221)의 확인 결과 상기 서비스 제공 서버(220)의 성능이 저하된 경우, 상기 클라이언트(110)로부터 전송되는 트래픽을 상기 유해 트래픽 차단 장치(230)로 우회시킨다.
상기 유해 트래픽 차단 장치(230)는 상기 서비스 제공 서버(220)에 의해 우회 처리된 트래픽에 대해 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart) 인증을 수행한 후, 상기 CAPTCHA 인증을 통과하지 못한 트래픽은 유해 트래픽으로 판단하여 차단시킨다.
상기 유해 트래픽 차단 장치(230)는 CAPTCHA 인증부(231), 데이터베이스(234), 및 제어부(237)를 포함한다.
상기 CAPTCHA 인증부(231)는 상기 서비스 제공 서버(220)로부터 우회 전송되는 트래픽(예를 들어, HTTP GET 등)에 대해 CAPTCHA 인증을 수행한다.
예를 들어, 상기 CAPTCHA 인증부(231)는 상기 서비스 제공 서버(220)의 디폴 트 페이지(Default Page)를 요청하는 상기 클라이언트(210)의 HTTP GET에 대해, HTTP 리다이렉트(HTTP Redirect) 기술을 이용하여 상기 디폴트 페이지에 대한 접속을 인증 웹 페이지(즉, CAPTCHA 인증 수행을 위한 웹 페이지)에 대한 접속으로 우회시킨다.
이때, 상기 클라이언트(210)가 정상 클라이언트(211)인 경우(즉, 사람이 사용자인 경우)는 상기 CAPTCHA 인증에 대해 응답하여 상기 CAPTCHA 인증을 통과할 것이고, 상기 클라이언트(210)가 좀비 클라이언트(214)인 경우는 상기 CAPTCHA 인증을 인식하지 못하므로 상기 CAPTCHA 인증을 통과하지 못하게 된다.
상기 CAPTCHA 인증부(231)는 한 번의 CAPTCHA 인증을 수행한 후 상기 CAPTCHA 인증을 통과하지 못한 트래픽을 유해 트래픽으로 판단할 수도 있지만, 기설정된 횟수 동안 상기 CAPTCHA 인증을 수행하여 계속적으로 상기 CAPTCHA 인증을 통과하지 못한 트래픽을 유해 트래픽으로 판단할 수도 있다.
상기 데이터베이스(234)는 상기 CAPTCHA 인증을 수행한 상기 클라이언트(210)들의 소스 아이피(Source IP)를 저장한다. 이때, 상기 데이터베이스(234)는 상기 CAPTCHA 인증을 통과한 클라이언트(210)들의 소스 아이피 및 상기 CAPTCHA 인증을 통과하지 못한 클라이언트(210)들의 소스 아이피를 구분하여 저장할 수 있다.
상기 제어부(237)는 상기 각 구성 요소를 제어한다. 예를 들어, 상기 제어부(237)는 상기 서비스 제공 서버(220)로부터 트래픽이 우회 전송되는 경우, 상기 우회 전송된 트래픽에 대한 응답으로 상기 클라이언트(210)가 상기 인증 웹 페이지에 접속하여 CAPTCHA 인증을 수행하도록 상기 CAPTCHA 인증부(231)를 제어한다.
상기 제어부(237)는 상기 CAPTCHA 인증을 통과한 트래픽은 인증 확인 신호와 함께 상기 서비스 제공 서버(220)로 전달하고, 상기 CAPTCHA 인증을 통과하지 못한 트래픽은 유해 트래픽으로 판단하여 차단시킨다.
상기 제어부(237)는 상기 CAPTCHA 인증을 수행한 상기 클라이언트(210)들의 소스 아이피(Source IP)를 상기 데이터베이스(234)에 저장한다. 이때, 상기 제어부(237)는 상기 CAPTCHA 인증을 통과한 클라이언트(110)들의 소스 아이피는 화이트 리스트(White List)에 저장하고, 상기 CAPTCHA 인증을 통과하지 못한 클라이언트(110)들의 소스 아이피는 블랙 리스트(Black List)에 저장한다. 상기 제어부(237)는 상기 클라이언트(210)의 소스 아이피를 상기 화이트 리스트 또는 블랙 리스트에 저장할 때, 해당 리스트에 등록되는 시간을 함께 기록한다.
상기 클라이언트(210)의 소스 아이피가 상기 화이트 리스트에 등록되면, 상기 제어부(237)는 상기 화이트 리스트에 등록된 순간부터 기설정된 시간(예를 들어, 10분) 동안 상기 클라이언트(210)로부터 전송되는 트래픽에 대해 별도의 CAPTCHA 인증을 수행하지 않고, 해당 트래픽을 인증 확인 신호와 함께 상기 서비스 제공 서버(220)로 전달한다.
또한, 클라이언트(210)의 소스 아이피가 상기 블랙 리스트에 등록되면, 상기 제어부(237)는 상기 블랙 리스트에 등록된 순간부터 기설정된 시간(예를 들어, 10분) 동안 상기 클라이언트(210)로부터 전송되는 트래픽에 대해 별도의 CAPTCHA 인증을 수행하지 않고 트래픽을 차단시킨다.
상기 유해 트래픽 차단 장치(230)는 상기 좀비 클라이언트(214)의 DDOS 공격을 수용할 수 있는 고대역폭 및 고가용성의 서버를 이용할 수 있다. 이때, 상기 유해 트래픽 차단 장치(230)는 하나의 서버로 구현할 수도 있지만, 여러 개의 서버를 연계하여 구현할 수도 있다.
상기 여러 개의 서버를 연계하여 상기 유해 트래픽 차단 장치(230)를 구현하는 경우, 각 서버마다 데이터베이스가 별도로 구비되어 있으므로 각 데이터베이스를 동기화시켜 각 서버들이 데이터를 공유할 수 있도록 한다.
이때, 상기 서비스 제공 서버(220)에서 상기 클라이언트(210)의 소스 아이피 별로 복수 개의 서버 중 소정 서버에만 접속할 수 있도록 해당 트래픽을 우회시키는 방법을 사용할 수도 있다.
도 5는 본 발명의 다른 실시예에 따른 유해 트래픽 차단 방법을 나타낸 순서도이다.
도 5를 참조하면, 서비스 제공 서버(220)의 성능 저하 확인부(221)가 상기 서비스 제공 서버(220)의 성능이 저하되는지 여부를 확인한다(S 200).
상기 단계 S 200의 확인 결과, 상기 서비스 제공 서버(220)의 성능이 저하된 경우, 상기 서비스 제공 서버(220)의 트래픽 우회 처리부(224)가 클라이언트(210)로부터 전송되는 트래픽을 유해 트래픽 차단 장치(230)로 우회시킨다(S 201).
상기 유해 트래픽 차단 장치(230)의 제어부(237)가 상기 트래픽 우회 처리된 클라이언트(210)의 소스 아이피(Source IP)를 확인하여, 해당 클라이언트(210)의 소스 아이피가 데이터베이스(234)의 화이트 리스트 또는 블랙 리스트에 저장되어 있는지 여부를 확인한다(S 202).
상기 단계 S 202의 확인 결과, 해당 클라이언트(210)의 소스 아이피가 상기 데이터베이스(234)에 저장되어 있지 않는 경우, 상기 제어부(237)는 상기 클라이언트(210)가 인증 웹 페이지(즉, CAPTCHA 인증을 수행하기 위한 웹 페이지)로 접속하도록 CAPTCHA 인증부(231)를 제어한다(S 203).
상기 제어부(237)는 상기 클라이언트(210)가 상기 CAPTCHA 인증을 통과하는지 여부를 확인하여(S 204), 상기 클라이언트(210)가 상기 CAPTCHA 인증을 통과하는 경우, 상기 클라이언트(210)의 트래픽을 인증 확인 신호와 함께 상기 서비스 제공 서버(220)로 전달한다(S 205). 이때, 상기 제어부(237)는 상기 CAPTCHA 인증을 통과한 클라이언트(210)의 소스 아이피를 데이터베이스(234)의 화이트 리스트에 등록한다.
상기 단계 S 204의 확인 결과, 상기 클라이언트(210)가 상기 CAPTCHA 인증을 통과하지 못하는 경우, 상기 제어부(237)는 상기 클라이언트(210)의 트래픽을 유해 트래픽으로 판단하여 차단시킨다(S 206). 이때, 상기 제어부(237)는 상기 CAPTCHA 인증을 통과하지 못한 클라이언트(210)의 소스 아이피를 데이터베이스(234)의 블랙 리스트에 등록한다.
상기 단계 S 202의 확인 결과, 해당 클라이언트(210)의 소스 아이피가 상기 데이터베이스(234)의 화이트 리스트에 저장되어 있는 경우, 상기 제어부(237)는 해당 클라이언트(210)로부터 전송된 트래픽이 상기 클라이언트(210)의 소스 아이피가 상기 화이트 리스트에 등록된 순간부터 기설정된 시간 이내에 전송된 것인지 여부를 확인한다(S 207).
상기 단계 S 207의 확인 결과, 상기 트래픽이 상기 클라이언트(210)의 소스 아이피가 상기 화이트 리스트에 등록된 순간부터 기설정된 시간 이내에 전송된 것인 경우, 상기 제어부(237)는 해당 트래픽을 인증 확인 신호와 함께 상기 서비스 제공 서버(220)로 전달한다(S 208).
상기 단계 S 207의 확인 결과, 상기 트래픽이 상기 클라이언트(210)의 소스 아이피가 상기 화이트 리스트에 등록된 순간부터 기설정된 시간을 초과하여 전송된 것인 경우, 상기 단계 S 203으로 돌아가 그 이후의 과정을 수행한다.
상기 단계 S 202의 확인 결과, 해당 클라이언트(210)의 소스 아이피가 상기 데이터베이스(234)의 블랙 리스트에 저장되어 있는 경우, 상기 제어부(237)는 해당 클라이언트(210)로부터 전송된 트래픽이 상기 클라이언트(210)의 소스 아이피가 상기 블랙 리스트에 등록된 순간부터 기설정된 시간 이내에 전송된 것인지 여부를 확인한다(S 209).
상기 단계 S 209의 확인 결과, 상기 트래픽이 상기 클라이언트(210)의 소스 아이피가 상기 블랙 리스트에 등록된 순간부터 기설정된 시간 이내에 전송된 것인 경우, 상기 제어부(237)는 해당 트래픽을 유해 트래픽으로 판단하여 차단시킨다(S 210).
상기 단계 S 209의 확인 결과, 상기 트래픽이 상기 클라이언트(210)의 소스 아이피가 상기 블랙 리스트에 등록된 순간부터 기설정된 시간을 초과하여 전송된 것인 경우, 상기 단계 S 203으로 돌아가 그 이후의 과정을 수행한다.
한편, 본 발명의 실시 예들은 본 명세서에서 기술한 방법들을 컴퓨터상에서 수행하기 위한 프로그램을 포함하는 컴퓨터 판독 가능 기록매체를 포함할 수 있다. 상기 컴퓨터 판독 가능 기록매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 플로피 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의 해 정해져야 한다.
도 1은 본 발명의 일 실시예에 따른 DDOS 공격 차단 시스템을 나타낸 도면.
도 2는 본 발명의 일 실시예에 따른 CAPTCHA 코드를 나타낸 도면.
도 3은 본 발명의 일 실시예에 따른 유해 트래픽 차단 방법을 나타낸 순서도.
도 4는 본 발명의 다른 실시예에 따른 DDOS 공격 차단 시스템을 나타낸 도면.
도 5는 본 발명의 다른 실시예에 따른 유해 트래픽 차단 방법을 나타낸 순서도.
* 도면의 주요 부분에 대한 부호의 설명 *
110 : 클라이언트 111 : 정상 클라이언트
114 : 좀비 클라이언트 120 : 유해 트래픽 차단 장치
121 : 투명 프록시 부 123 : 트래픽 모니터부
125 : CAPTCHA 인증부 127 : 데이터베이스
129 : 제어부 130 : 서비스 제공 서버
210 : 클라이언트 211 : 정상 클라이언트
214 : 좀비 클라이언트 220 : 서비스 제공 서버
221 : 성능 저하 확인부 224 : 트래픽 우회 처리부
230 : 유해 트래픽 차단 장치 231 : CAPTCHA 인증부
234 : 데이터베이스 237 : 제어부

Claims (33)

  1. 클라이언트의 트래픽을 서비스 제공 서버로 전달하고, 상기 트래픽에 대한 상기 서비스 제공 서버의 응답을 상기 클라이언트로 전달하는 투명 프록시 부;
    상기 클라이언트에서 상기 서비스 제공 서버로 전달되는 트래픽 양을 모니터링하여 기설정된 트래픽 양을 초과하면, 이상 트래픽 감지 신호를 발생시키는 트래픽 모니터부;
    상기 이상 트래픽 감지 신호가 발생한 이후, 상기 클라이언트로부터 전송되는 트래픽에 대해 CAPTCHA 인증을 수행하는 CAPTCHA 인증부; 및
    상기 각 구성 요소를 제어하며, 상기 CAPTCHA 인증을 통과한 트래픽은 상기 서비스 제공 서버로 전달하고, 상기 CAPTCHA 인증을 통과하지 못한 트래픽은 유해 트래픽으로 판단하여 차단하는 제어부를 포함하는, 유해 트래픽 차단 장치.
  2. 제1항에 있어서,
    상기 CAPTCHA 인증부는,
    HTTP 리다이렉트(HTTP Redirect) 기술을 이용하여, 상기 클라이언트가 CAPTCHA 인증을 수행하는 인증 웹 페이지에 접속되도록 하는, 유해 트래픽 차단 장치.
  3. 제1항에 있어서,
    상기 제어부는,
    상기 CAPTCHA 인증부를 통해 기설정된 횟수 동안 상기 CAPTCHA 인증을 수행하여, 계속적으로 상기 CAPTCHA 인증을 통과하지 못한 트래픽을 유해 트래픽으로 판단하여 차단하는, 유해 트래픽 차단 장치.
  4. 제1항에 있어서,
    상기 유해 트래픽 차단 장치는,
    상기 클라이언트에서 상기 서비스 제공 서버로 전송되는 트래픽 양이 기설정된 트래픽 양을 초과하지 않는 경우, 상기 클라이언트 및 상기 서비스 제공 서버 사이에서 투명 프록시(Transparent Proxy)로 동작하는, 유해 트래픽 차단 장치.
  5. 제1항에 있어서,
    상기 유해 트래픽 차단 장치는,
    상기 CAPTCHA 인증을 수행한 클라이언트들의 소스 아이피(Source IP)를 저장하는 데이터베이스를 더 포함하는, 유해 트래픽 차단 장치.
  6. 제5항에 있어서,
    상기 데이터베이스는,
    상기 CAPTCHA 인증을 통과한 클라이언트들의 소스 아이피를 저장하는 화이트 리스트(White List); 및
    상기 CAPTCHA 인증을 통과하지 못한 클라이언트들의 소스 아이피를 저장하는 블랙 리스트(Black List)를 포함하는, 유해 트래픽 차단 장치.
  7. 제6항에 있어서,
    상기 제어부는,
    소정 클라이언트의 소스 아이피가 상기 화이트 리스트에 저장되어 있는 경우, 해당 클라이언트의 소스 아이피가 상기 화이트 리스트에 저장된 순간부터 기설정된 시간 내에 전송되는 트래픽은 상기 CAPTCHA 인증 없이 상기 서비스 제공 서버로 전달하는, 유해 트래픽 차단 장치.
  8. 제6항에 있어서,
    상기 제어부는,
    소정 클라이언트의 소스 아이피가 상기 블랙 리스트에 저장되어 있는 경우, 해당 클라이언트의 소스 아이피가 상기 블랙 리스트에 저장된 순간부터 기설정된 시간 내에 전송되는 트래픽은 상기 CAPTCHA 인증 없이 유해 트래픽으로 판단하여 차단하는, 유해 트래픽 차단 장치.
  9. 클라이언트에서 발생하여 서비스 제공 서버로부터 우회 처리된 트래픽에 대해 CAPTCHA 인증을 수행하는 CAPTCHA 인증부; 및
    상기 CAPTCHA 인증을 통과하지 못한 트래픽은 유해 트래픽으로 판단하여 차단하는 제어부를 포함하는, 유해 트래픽 차단 장치.
  10. 제9항에 있어서,
    상기 제어부는,
    상기 CAPTCHA 인증을 통과한 트래픽을 인증 확인 신호와 함께 상기 서비스 제공 서버로 전달하는, 유해 트래픽 차단 장치.
  11. 제9항에 있어서,
    상기 유해 트래픽 차단 장치는,
    상기 CAPTCHA 인증을 수행한 클라이언트들의 소스 아이피(Source IP)를 저장 하는 데이터베이스를 더 포함하는, 유해 트래픽 차단 장치.
  12. 제11항에 있어서,
    상기 데이터베이스는,
    상기 CAPTCHA 인증을 통과한 클라이언트들의 소스 아이피를 저장하는 화이트 리스트(White List); 및
    상기 CAPTCHA 인증을 통과하지 못한 클라이언트들의 소스 아이피를 저장하는 블랙 리스트(Black List)를 포함하는, 유해 트래픽 차단 장치.
  13. 제12항에 있어서,
    상기 제어부는,
    소정 클라이언트의 소스 아이피가 상기 화이트 리스트에 저장되어 있는 경우, 해당 클라이언트의 소스 아이피가 상기 화이트 리스트에 저장된 순간부터 기설정된 시간 내에 전송되는 트래픽은 인증 확인 신호와 함께 상기 서비스 제공 서버로 전달하는, 유해 트래픽 차단 장치.
  14. 제12항에 있어서,
    상기 제어부는,
    소정 클라이언트의 소스 아이피가 상기 블랙 리스트에 저장되어 있는 경우, 해당 클라이언트의 소스 아이피가 상기 블랙 리스트에 저장된 순간부터 기설정된 시간 내에 전송되는 트래픽은 상기 CAPTCHA 인증 없이 유해 트래픽으로 판단하여 차단하는, 유해 트래픽 차단 장치.
  15. 소정 서비스를 요청하는 트래픽을 발생시키는 클라이언트;
    상기 클라이언트의 요청에 따라 해당 서비스를 제공하며, 자체 성능 저하 여부를 확인하여 상기 클라이언트로부터 전송된 트래픽을 우회 처리하는 서비스 제공 서버; 및
    상기 우회 처리된 트래픽에 대해 CAPTCHA 인증을 수행하여, 상기 CAPTCHA 인증을 통과하지 못한 트래픽은 차단하는 유해 트래픽 차단 장치;를 포함하는 유해 트래픽 차단 시스템.
  16. 제15항에 있어서,
    상기 서비스 제공 서버는,
    상기 서비스 제공 서버의 성능 저하 여부를 확인하는 성능 저하 확인부; 및
    상기 서비스 제공 서버의 성능이 저하된 경우, 상기 클라이언트로부터 전송 된 트래픽을 상기 유해 트래픽 차단 장치로 우회 처리하는 트래픽 우회 처리부를 포함하는, 유해 트래픽 차단 시스템.
  17. 제15항에 있어서,
    상기 유해 트래픽 차단 장치는,
    상기 서비스 제공 서버로부터 우회 처리된 트래픽에 대해 CAPTCHA 인증을 수행하는 CAPTCHA 인증부;
    상기 CAPTCHA 인증을 수행한 클라이언트들의 소스 아이피(Source IP)를 저장하는 데이터베이스; 및
    상기 CAPTCHA 인증을 통과하지 못한 트래픽은 유해 트래픽으로 판단하여 차단하는 제어부를 포함하는, 유해 트래픽 차단 시스템.
  18. (A) 트래픽 모니터부가 클라이언트에서 서비스 제공 서버로 전달되는 트래픽 양이 기설정된 트래픽 양을 초과하는지 여부를 확인하는 단계;
    (B) 상기 클라이언트에서 상기 서비스 제공 서버로 전달되는 트래픽 양이 기설정된 트래픽 양을 초과하는 경우, 상기 트래픽 모니터부가 이상 트래픽 감지 신호를 발생하는 단계;
    (C) 상기 이상 트래픽 감지 신호가 발생하는 경우, 제어부가 상기 트래픽을 전송한 클라이언트의 소스 아이피가 데이터베이스의 화이트 리스트 또는 블랙 리스트에 저장되어 있는지 여부를 확인하는 단계;
    (D) 상기 클라이언트의 소스 아이피가 상기 데이터베이스의 화이트 리스트 또는 블랙 리스트에 저장되어 있지 않은 경우, CAPTCHA 인증부가 상기 클라이언트로부터 전송되는 트래픽에 대해 CAPTCHA 인증을 수행하는 단계; 및
    (E) 제어부가 상기 CAPTCHA 인증 결과에 따라, 해당 트래픽의 차단 여부를 결정하는 단계를 포함하는, 유해 트래픽 차단 방법.
  19. 제18항에 있어서,
    상기 (D) 단계는,
    상기 CAPTCHA 인증부가 HTTP 리다이렉트(HTTP Redirect) 기술을 이용하여, 상기 클라이언트가 상기 CAPTCHA 인증을 수행하는 인증 웹 페이지에 접속되도록 하는, 유해 트래픽 차단 방법.
  20. 제18항에 있어서,
    상기 (E) 단계는,
    상기 제어부가 상기 CAPTCHA 인증을 통과한 트래픽은 상기 서비스 제공 서버로 전달하고, 상기 CAPTCHA 인증을 통과하지 못한 트래픽은 유해 트래픽으로 판단 하여 차단하는, 유해 트래픽 차단 방법.
  21. 제18항에 있어서,
    상기 (C) 단계 이후에,
    (C-1) 상기 클라이언트의 소스 아이피가 상기 화이트 리스트에 저장되어 있는 경우, 상기 트래픽이 상기 클라이언트의 소스 아이피가 상기 화이트 리스트에 저장된 순간부터 기설정된 시간 내에 전송되었는지 여부를 확인하는 단계; 및
    (C-2) 상기 트래픽이 상기 기설정된 시간 내에 전송된 경우, 상기 제어부가 상기 CAPTCHA 인증 없이 해당 트래픽을 상기 서비스 제공 서버로 전달하는 단계를 포함하는, 유해 트래픽 차단 방법.
  22. 제21항에 있어서,
    상기 (C-1) 단계 이후에,
    (C-11) 상기 트래픽이 상기 기설정된 시간을 초과하여 전송된 경우, 상기 CAPTCHA 인증부가 해당 트래픽에 대해 CAPTCHA 인증을 수행하는 단계; 및
    (C-12) 상기 제어부가 상기 CAPTCHA 인증 결과에 따라, 해당 트래픽의 차단 여부를 결정하는 단계를 포함하는, 유해 트래픽 차단 방법.
  23. 제18항에 있어서,
    상기 (C) 단계 이후에,
    (C-3) 상기 클라이언트의 소스 아이피가 상기 블랙 리스트에 저장되어 있는 경우, 상기 트래픽이 상기 클라이언트의 소스 아이피가 상기 데이터베이스의 블랙 리스트(Black List)에 저장된 순간부터 기설정된 시간 내에 전송되었는지 여부를 확인하는 단계; 및
    (C-4) 상기 트래픽이 상기 기설정된 시간 내에 전송된 경우, 상기 제어부가 상기 CAPTCHA 인증 없이 해당 트래픽을 유해 트래픽으로 판단하여 차단하는 단계를 포함하는, 유해 트래픽 차단 방법.
  24. 제23항에 있어서,
    상기 (C-3) 단계 이후에,
    (C-31) 상기 트래픽이 상기 기설정된 시간을 초과하여 전송된 경우, 상기 CAPTCHA 인증부가 해당 트래픽에 대해 CAPTCHA 인증을 수행하는 단계; 및
    (C-32) 상기 제어부가 상기 CAPTCHA 인증 결과에 따라, 해당 트래픽의 차단 여부를 결정하는 단계를 포함하는, 유해 트래픽 차단 방법.
  25. (a) 서비스 제공 서버가 자체 성능이 저하되는지 여부를 확인하는 단계;
    (b) 상기 자체 성능이 저하된 경우, 상기 서비스 제공 서버가 클라이언트로부터 전송되는 트래픽을 유해 트래픽 차단 장치로 우회시키는 단계;
    (c) 유해 트래픽 차단 장치가 상기 우회 처리된 트래픽을 전송한 클라이언트의 소스 아이피가 데이터베이스의 화이트 리스트 또는 블랙 리스트에 저장되어 있는지 여부를 확인하는 단계;
    (d) 상기 클라이언트의 소스 아이피가 상기 데이터베이스의 화이트 리스트 또는 블랙 리스트에 저장되어 있지 않은 경우, 상기 유해 트래픽 차단 장치가 상기 클라이언트로부터 전송되는 트래픽에 대해 CAPTCHA 인증을 수행하는 단계; 및
    (e) 상기 유해 트래픽 차단 장치가 상기 CAPTCHA 인증 결과에 따라, 해당 트래픽의 차단 여부를 결정하는 단계를 포함하는, 유해 트래픽 차단 방법.
  26. 제25항에 있어서,
    상기 (d) 단계는,
    상기 유해 트래픽 차단 장치가 HTTP 리다이렉트(HTTP Redirect) 기술을 이용하여, 상기 클라이언트가 상기 CAPTCHA 인증을 수행하는 인증 웹 페이지에 접속되도록 하는, 유해 트래픽 차단 방법.
  27. 제25항에 있어서,
    상기 (e) 단계는,
    상기 유해 트래픽 차단 장치가 상기 CAPTCHA 인증을 통과한 트래픽은 인증 확인 신호와 함께 상기 서비스 제공 서버로 전달하고, 상기 CAPTCHA 인증을 통과하지 못한 트래픽은 유해 트래픽으로 판단하여 차단하는, 유해 트래픽 차단 방법.
  28. 제25항에 있어서,
    상기 (c) 단계 이후에,
    (c-1) 상기 클라이언트의 소스 아이피가 상기 화이트 리스트에 저장되어 있는 경우, 상기 트래픽이 상기 클라이언트의 소스 아이피가 상기 화이트 리스트에 저장된 순간부터 기설정된 시간 내에 전송되었는지 여부를 확인하는 단계; 및
    (c-2) 상기 트래픽이 상기 기설정된 시간 내에 전송된 경우, 상기 유해 트래픽 차단 장치가 상기 CAPTCHA 인증 없이 해당 트래픽을 인증 확인 신호와 함께 상기 서비스 제공 서버로 전달하는 단계를 포함하는, 유해 트래픽 차단 방법.
  29. 제28항에 있어서,
    상기 (c-1) 단계 이후에,
    (c-11) 상기 트래픽이 상기 기설정된 시간을 초과하여 전송된 경우, 상기 유 해 트래픽 차단 장치가 해당 트래픽에 대해 CAPTCHA 인증을 수행하는 단계; 및
    (c-12) 상기 유해 트래픽 차단 장치가 상기 CAPTCHA 인증 결과에 따라, 해당 트래픽의 차단 여부를 결정하는 단계를 포함하는, 유해 트래픽 차단 방법.
  30. 제25항에 있어서,
    상기 (c) 단계 이후에,
    (c-3) 상기 클라이언트의 소스 아이피가 상기 블랙 리스트에 저장되어 있는 경우, 상기 트래픽이 상기 클라이언트의 소스 아이피가 상기 데이터베이스의 블랙 리스트(Black List)에 저장된 순간부터 기설정된 시간 내에 전송되었는지 여부를 확인하는 단계; 및
    (c-4) 상기 트래픽이 상기 기설정된 시간 내에 전송된 경우, 상기 유해 트래픽 차단 장치가 상기 CAPTCHA 인증 없이 해당 트래픽을 유해 트래픽으로 판단하여 차단하는 단계를 포함하는, 유해 트래픽 차단 방법.
  31. 제30항에 있어서,
    상기 (c-3) 단계 이후에,
    (c-31) 상기 트래픽이 상기 기설정된 시간을 초과하여 전송된 경우, 상기 유해 트래픽 차단 장치가 해당 트래픽에 대해 CAPTCHA 인증을 수행하는 단계; 및
    (c-32) 상기 유해 트래픽 차단 장치가 상기 CAPTCHA 인증 결과에 따라, 해당 트래픽의 차단 여부를 결정하는 단계를 포함하는, 유해 트래픽 차단 방법.
  32. 제18항 내지 제24항 중 어느 하나의 항에 기재된 유해 트래픽 차단 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터 판독가능 기록매체.
  33. 제25항 내지 제31항 중 어느 하나의 항에 기재된 유해 트래픽 차단 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터 판독가능 기록매체.
KR1020090116419A 2009-11-30 2009-11-30 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템 KR20110059963A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090116419A KR20110059963A (ko) 2009-11-30 2009-11-30 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090116419A KR20110059963A (ko) 2009-11-30 2009-11-30 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템

Publications (1)

Publication Number Publication Date
KR20110059963A true KR20110059963A (ko) 2011-06-08

Family

ID=44394808

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090116419A KR20110059963A (ko) 2009-11-30 2009-11-30 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템

Country Status (1)

Country Link
KR (1) KR20110059963A (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101132573B1 (ko) * 2011-11-23 2012-04-05 주식회사 윈스테크넷 웹 서버를 위협하는 자동화 코드 공격의 차단시스템 및 차단방법
KR101369727B1 (ko) * 2012-07-11 2014-03-06 한국전자통신연구원 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
US8966609B2 (en) 2011-12-09 2015-02-24 Electronics And Telecommunications Research Institute Authentication method and apparatus for detecting and preventing source address spoofing packets
WO2017111383A1 (ko) * 2015-12-23 2017-06-29 주식회사 케이티 생체 정보 기반 인증 장치, 이와 연동하는 제어 서버, 그리고 이들의 생체 정보 기반 로그인 방법
US10348760B2 (en) 2012-10-22 2019-07-09 Verisign, Inc. Integrated user challenge presentation for DDoS mitigation service
KR20210132494A (ko) * 2020-04-27 2021-11-04 주식회사 웰컨 매크로 이상 접속 탐지 장치 및 방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101132573B1 (ko) * 2011-11-23 2012-04-05 주식회사 윈스테크넷 웹 서버를 위협하는 자동화 코드 공격의 차단시스템 및 차단방법
US8966609B2 (en) 2011-12-09 2015-02-24 Electronics And Telecommunications Research Institute Authentication method and apparatus for detecting and preventing source address spoofing packets
KR101369727B1 (ko) * 2012-07-11 2014-03-06 한국전자통신연구원 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
US10348760B2 (en) 2012-10-22 2019-07-09 Verisign, Inc. Integrated user challenge presentation for DDoS mitigation service
WO2017111383A1 (ko) * 2015-12-23 2017-06-29 주식회사 케이티 생체 정보 기반 인증 장치, 이와 연동하는 제어 서버, 그리고 이들의 생체 정보 기반 로그인 방법
US10904007B2 (en) 2015-12-23 2021-01-26 Kt Corporation Authentication device based on biometric information, control server connected to the same, and login method based on biometric information thereof
KR20210132494A (ko) * 2020-04-27 2021-11-04 주식회사 웰컨 매크로 이상 접속 탐지 장치 및 방법

Similar Documents

Publication Publication Date Title
US9900346B2 (en) Identification of and countermeasures against forged websites
US9462007B2 (en) Human user verification of high-risk network access
US10841334B2 (en) Secure notification on networked devices
US9654494B2 (en) Detecting and marking client devices
US8413239B2 (en) Web security via response injection
US8561177B1 (en) Systems and methods for detecting communication channels of bots
US9628498B1 (en) System and method for bot detection
US10097520B2 (en) Method and apparatus for causing delay in processing requests for internet resources received from client devices
US9843590B1 (en) Method and apparatus for causing a delay in processing requests for internet resources received from client devices
US8161538B2 (en) Stateful application firewall
US11539695B2 (en) Secure controlled access to protected resources
CN102859934A (zh) 网络可接入计算机服务的接入管理和安全保护系统和方法
RU2601147C2 (ru) Система и способ выявления целевых атак
KR20110059963A (ko) 유해 트래픽 차단 장치 및 방법과 이를 이용한 유해 트래픽 차단 시스템
US9680950B1 (en) Method and apparatus for causing delay in processing requests for internet resources received from client devices
Pannu et al. Exploring proxy detection methodology
KR101063321B1 (ko) 유해 트래픽 차단 장치 및 방법
Nixon et al. Ddos protection bypass techniques
Parmar et al. Compromising cloud security and privacy by dos, ddos, and botnet and their countermeasures
KR102695124B1 (ko) 사물인터넷 환경에서의 게이트웨이 기반 사물봇 탐지 방법 및 장치
US11451584B2 (en) Detecting a remote exploitation attack
GB2540375A (en) Preventing browser-originating attacks in a local area network

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E601 Decision to refuse application