KR20130014226A - 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 - Google Patents

공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 Download PDF

Info

Publication number
KR20130014226A
KR20130014226A KR1020110076207A KR20110076207A KR20130014226A KR 20130014226 A KR20130014226 A KR 20130014226A KR 1020110076207 A KR1020110076207 A KR 1020110076207A KR 20110076207 A KR20110076207 A KR 20110076207A KR 20130014226 A KR20130014226 A KR 20130014226A
Authority
KR
South Korea
Prior art keywords
packet
dns
attack
response message
message
Prior art date
Application number
KR1020110076207A
Other languages
English (en)
Inventor
김병구
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020110076207A priority Critical patent/KR20130014226A/ko
Priority to US13/529,961 priority patent/US8943586B2/en
Publication of KR20130014226A publication Critical patent/KR20130014226A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Abstract

본 발명에 따른 공격 트래픽 형태별 특성에 따른 DNS 플러딩 공격 탐지 방법이 개시된다. 본 발명에 따른 공격 탐지 방법은 네트워크 상에 연결된 컴퓨터 장치에서 수행되고, 네트워크를 통해 전송되는 DNS(Domain Name Server)패킷을 검사하여 공격 여부를 탐지하는 방법에 있어서, 상기 전송되는 패킷에 포함된 메시지와 동일 유형의 메시지를 포함하고, 상기 전송되는 패킷과 특정 주소지와 특정 필드 값이 동일한 DNS 패킷이, 이전에 일정한 수 이상 임계 시간 내에 발생하였는지 여부를 판단하는 단계 및 상기 임계 시간 내에 상기와 같이 동일한DNS 패킷이 일정한 수 이상 발생하였다고 판단한 경우 상기 전송되는 DNS 패킷을 공격과 관련된 패킷이라고 판단하는 단계를 포함하여 구성된다. 본 발명에 따른 공격 탐지 방법을 이용하면 공격 형태별 특성에 따라 공격을 탐지하여 차단함으로써, 정상적인 사용자에게는 원활한 네트워크 서비스를 제공할 수 있고, 하드웨어 상에서 더욱 효과적인 기법을 제공함으로써, 공격 대상 서버 자체에 어떠한 부하도 주지 않고, 제한된 하드웨어 자원의 효율적인 사용을 가능케 하는 효과가 있다.

Description

공격 트래픽 형태별 특성에 따른 DNS 플러딩 공격 탐지 방법{DNS Flooding Attack Detection Method on the Characteristics by Attack Traffic Type}
본 발명은 정상적인 서비스 연결을 방해하는 형태의 서비스 거부 공격(DDoS: Distributed Denial of Service, DoS: Denial of Service)으로 부터 네트워크 및 서버 자원을 보호하고 원활한 서비스를 제공하도록 하기 위한 서비스 거부 공격을 탐지하는 방법에 관한 것이다. 보다 상세하게는 악의적인 사용자의 공격 트래픽 형태 만을 탐지하는 방법에 관한 것이다.
DNS(Domain Name System)는 누구에게나 공개되어 서비스되어야 하는 TCP/IP의 대표적 개방형프로토콜이다. 이러한 개방성으로 DNS 서비스는 처음에는 보안(Security) 개념이 없었다. 그러나 인터넷의 이용이 상업적으로 크게 늘어나면서 질의의 위조 및 변조, DNS에 대한 악의적인 서비스 거부 공격(DDoS: Distributed Denial of Service Attack) 등으로 공격자들의 손쉬운 표적이 되었다.
지난 2003년 1월 에 있었던 일명 1.25 대란의 주요 원인도 DNS 장애를 유발한 공격으로 전 세계가 공포에 떨어야 했다. DNS의 보안상 취약성을 이용한 공격은 대표적으로 DNS Cache Poisoning 공격, DNS Amplification 공격, Recursion Query를 이용한 악의적 공격, Zone Transfer 노출, BIND 버전 노출 등이 있다.
무엇보다도 도 1과 같이 정상적인 Caching DNS 서버가 타 시스템의 서비스 거부 공격을 위한 도구로 악용되는 공격형태인 DNS Amplification 공격 등은 대표적인 서비스 거부 공격이라고 할 수 있다.
이와 같은 네트워크나 서버의 가용성을 위협하는 형태의 서비스 거부 공격 형태는 루트 DNS 서버에 대한 공격처럼 국가나 인터넷 전체 기반체계를 대상으로 매우 광범위하게 전개되고 있는 실정이다. 또한, 수만~수십 만대의 좀비 PC에서 공격이 대거 이뤄짐에 따라 그 피해가 날로 커지고 있으며, 최근에는 또한 수~수십Gbps 정도의 공격 수위를 갖는 공격을 함으로써 네트워크 인프라를 완전히 마비시키고 있다.
예전에는 해킹이나 서비스 거부 공격 공격하면 해당 분야의 전문가만이 할 수 있는 고급기술로 인식되었으나, 서비스 거부 공격 공격의 명령하달 서버인 C&C서버에서 주로 사용되는 공격 툴 중의 하나인 넷봇 공격자(Netbot Attacker) 등은 마음만 먹으면 인터넷에서 어렵지 않게 구할 수 있게 되었다.
이처럼 공격 툴을 어렵지 않게 구할 수 있음에 따라 보다 쉽게 악의적인 공격 트래픽을 생성할 수 있다. 그러나, 현재의 공격 탐지 및 대응 기법들은 정상적인 사용자와 악의적인 사용자의 행위를 구별하는 것이 쉽지 않고, 트래픽 측정에 의한 일률적인 차단은 정상적인 사용자의 트래픽마저 차단하는 문제가 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 정상적인 사용자의 트래픽은 보호하면서, 악의적인 사용자에 의한 공격 트래픽만을 선별하여 차단하는 공격 탐지 방법을 제공하는 것이다.
상기 목적을 달성하기 위하여 본 발명의 일 측면은 네트워크 상에 연결된 컴퓨터 장치에서 수행되고, 네트워크를 통해 전송되는 DNS(Domain Name Server)패킷을 검사하여 공격을 탐지하는 방법에 있어서, 상기 전송되는 패킷에 포함된 메시지와 동일 유형의 메시지를 포함하고, 상기 전송되는 패킷과 특정 주소지와 특정 필드 값이 동일한 DNS 패킷이, 이전에 일정한 수 이상 임계 시간 내에 발생하였는지 여부를 판단하는 단계 및 상기 임계 시간 내에 상기와 같이 동일한DNS 패킷이 일정한 수 이상 발생하였다고 판단한 경우 상기 전송되는 DNS 패킷을 공격과 관련된 패킷이라고 판단하는 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법을 제공한다.
여기서, 상기 DNS 패킷이 질의 메시지를 포함하는 경우, 상기 특정 주소지는 발신지 주소와 목적지 주소를 포함하는 것을 특징으로 한다.
여기서, 상기 DNS 패킷이 응답 메시지를 포함하는 경우, 상기 특정 주소지는 목적지 주소를 포함하는 것을 특징으로 한다.
여기서, 상기 특정 필드는 식별자 필드 및 질문 필드 중 적어도 하나를 포함하는 것을 특징으로 한다.
여기서, 상기 전송되는 패킷을 공격과 관련된 패킷이라고 판단하는 경우 상기 전송되는 패킷을 차단하는 단계를 더 포함하는 것을 특징으로 한다.
여기서, 상기 이전에 발생한 DNS 패킷에 대한 정보는 별도의 데이터베이스를 통해 관리되어 참조되고, 상기 데이터 베이스에는 이전에 발생한 패킷에 대한 정보와 발생 시간이 저장되고, 상기 패킷에 대한 정보는 식별자, 발신지 주소, 목적지 주소 및 질문 중 최소 하나를 포함하는 것을 특징으로 한다.
상기 목적을 달성하기 위하여 본 발명의 다른 측면은 네트워크 상에 연결된 컴퓨터 장치에서 수행되고, 응답 메시지를 포함하는 DNS(Domain Name Server) 패킷을 검사하여 공격을 탐지하는 방법에 있어서, 이전에 전송된 DNS 패킷 중 상기 DNS 패킷의 응답메시지에 대응되는 질의 메시지를 포함하는 이전 패킷이 존재하는지 여부를 판단하는 단계 및 상기 응답 메시지에 대응되는 질의 메시지를 포함하는 이전 패킷이 존재하지 않는다고 판단한 경우 상기 응답 메시지를 포함하는 DNS 패킷을 공격과 관련된 패킷으로 판단하는 단계를 포함하는 공격 탐지 방법을 제공한다.
여기서, 상기 이전 패킷의 존재여부의 판단은 상기 응답 메시지를 포함하는 DNS 패킷의 식별자, 목적지 주소 및 발신지 주소를, 질의 메시지를 포함하는 이전 패킷의 식별자, 발신지 주소 및 목적지 주소와 각각 비교함으로써 판단하는 것을 특징으로 한다.
여기서, 상기 질의 메시지를 포함하는 패킷에 대한 정보는 별도의 데이터베이스를 통해 관리되어 참조되고, 상기 데이터 베이스에는 질의 메시지를 포함하는 패킷의 식별자, 발신지 주소 및 목적지 주소를 포함하는 것을 특징으로 한다.
여기서, 상기 응답 메시지를 포함하는 패킷을 공격과 관련된 패킷이라고 판단하는 경우 상기 응답 메시지를 포함하는 패킷을 차단하는 단계를 더 포함하는 것을 특징으로 한다.
상기 목적을 달성하기 위하여 본 발명의 또 다른 측면은 네트워크 상에 연결된 컴퓨터 장치에서 수행되고, 응답 메시지를 포함하는 DNS패킷을 검사하여 공격을 탐지하는 방법 있어서, 상기 전송되는 DNS 패킷의 응답 메시지의 크기가 최대 허용 크기를 초과하는 지 여부를 판단하는 단계, 상기 응답 메시지의 크기가 상기 최대 허용크기를 초과하는 경우, 상기 패킷이 ENDS0(Extension mechanisms for DNS version 0)을 제공하지 않는 서버 또는 호스트로 전달된다면 상기 DNS 패킷을 공격으로 판단하는 것을 특징으로 하는 공격 탐지 방법을 제공한다.
여기서, 상기 최대 허용크기는 512 바이트인 것을 특징으로 한다.
본 발명에 따른 공격 트래픽 형태별 특성에 따른 DNS 플러딩 탐지 방법을 이용하며, DNS 플러딩 공격 형태를 여러 개로 분류하고, 각 형태별 특성에 따라 공격을 탐지하여 차단함으로써, 정상적인 사용자에게는 원활한 네트워크 서비스를 제공할 수 있다. 또한, 하드웨어 상에서 더욱 효과적인 기법을 제공함으로써, 공격 대상 서버 자체에 어떠한 부하도 주지 않고, 제한된 하드웨어 자원의 효율적인 사용을 가능케 하는 효과가 있다.
도 1은 DNS 공격의 일 예를 보여주는 개념도이다.
도 2의 (a)는 DNS 패킷 구조를 보여주는 개념도이다.
도 2는 (b)는 DNS 질의 요청과정을 보여주는 개념도이다.
도 3는 본 발명의 일 실시예에 따른 공격 유형을 보여주는 개념도이다.
도 4는 본 발명의 일 실시예에 따른 공격 탐지과정을 보여주는 시퀀스 차트이다.
도 5는 본 발명의 다른 실시예에 따른 공격 유형을 보여주는 개념도이다.
도 6은 본 발명의 다른 실시예에 따른 공격 탐지과정을 보여주는 시퀀스 차트이다.
도 7은 본 발명의 또 다른 실시예에 따른 공격 유형을 보여주는 개념도이다.
도 8은 본 발명의 또 다른 실시예에 따른 공격 탐지과정을 보여주는 시퀀스 차트이다.
도 9는 본 발명의 또 다른 실시예에 따른 공격 유형을 보여주는 개념도이다.
도 10은 본 발명의 또 다른 실시예에 따른 공격 탐지과정을 보여주는 시퀀스 차트이다.
도 11은 본 발명의 또 다른 실시예에 따른 공격 탐지과정을 보여주는 시퀀스 차트이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부한 도면들을 참조하여 상세하게 설명한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
이하, 본 발명에 따른 네트워크 트래픽 분석을 통한 DNS 플러딩 공격을 탐지하고 차단하기 위해서, 공격 트래픽 형태별 특성에 따른 탐지 방법이 개시된다. 특히 본 발명은 DNS 프로토콜을 이용한 네트워크 레벨의 부하 공격으로부터 악의적인 사용자만을 선별적으로 차단하여 정상적인 사용자에게는 원활한 서비스가 가능토록 하기 위한 공격 탐지 방법을 제공한다.
본 발명에 따른 네트워크 상의 공격 탐지 방법은 네트워크 패킷이 전송되는 네트워크 상에 위치한 질의요청을 하는 클라이언트와 클라이언트에 서비스를 제공하는 서버 중간에 위치하는 장치에서 수행될 수 있다. 또는 클라이언트로부터 질의 메시지를 수신하는 서버에서 수행될 수 있다. 또한 본 발명에 따른 공격 탐지 방법은 네트워크 트래픽을 최소화 하기 위하여 적절하게 배치된 컴퓨터 장치에서 실행될 수 있다.
도 2의 (a)는 DNS 패킷 구조를 보여주고, (b)는 DNS 질의 요청과정을 보여주는 개념도이다.
DNS는 시스템 이름과 IP 주소를 매핑하여 주는 시스템으로, DNS 질의(Query) 메시지와 이에 대한 응답(Response) 메시지를 주고 받음으로써 수행된다. 또한 질의 메시지와 응답 메시지는 플래그에 의해서 구분된다.
도 2의 (a)를 참조하면 질의 메시지와 응답 메시지를 구분하는 메시지 유형은 한 QR 플래그(30)에 저장된다. 즉 질의 메시지이면 QR 플래그 필드(30)는 0이 저장 되고, 응답 메시지이면 1이 저장된다.
또한 질의 메시지의 질의 내용은 질문 필드(50)에 저장되며, 응답 메시지의 응답 내용은 답변 필드(60)에 저장된다. 그리고, 부가적인 정보들이 기타 다른 필드에 저장된다.
도 2의 (b)를 참조하면 클라이언트(10)와 서버(20)간에 질의 메시지(211, 213)와 응답메시지(212, 214)가 상호 전송되어 한 쌍을 이루는 것을 알 수 있다.
즉, 예를 들어, 클라이언트(10)에서 서버(20)로 A라는 식별자(70)를 갖는 질의 메시지(211)가 전송되는 경우, 동일한 식별자 A(70)를 갖는 대응하는 응답메시지(212)가 서버로부터 클라이언트로 전송되는 것을 알 수 있다.
공격형태 1에 따른 공격 탐지방법의 실시예
본 발명은 위에 설명된 DNS 패킷의 송수신 구조에 기초하여, 정상적인 구조라고 볼 수 없는 패킷이 발생하는 경우 공격이라고 판단한다. 이하, 본 발명에 따른 공격 탐지방법을 도면을 참조하여 설명한다.
도 3는 본 발명의 일 실시예에 따른 공격 유형을 보여주는 개념도이다.
도 3을 참조하면, 대응하는 질의 메시지가 없는 상태에서 응답 메시지가 도달하는 공격 트래픽 형태를 볼 수 있다.
식별자 A를 갖는 질의 메시지(310)에는 대응되는 응답 메시지(320)가 서버(20)에서 클라이언트(30)으로 전송되지만, 식별자 B를 갖는 응답 메시지 (340)는 대응하는 질의 메시지(330)가 없음에도 전송되는 것을 보여준다.
도 3에서 식별자 B를 갖는 질의 메시지(330)는 식별자 B를 갖는 응답 메시지(340)에 앞서 먼저 발생되어 클라이언트(10)에서 서버(20)로 전송되었어야 함에도 불구하고 발생되지 않았음을 보여주고 있다.
따라서 응답 메시지(340)는 대응하는 질의 메시지가 없이 발생되었기 때문에 공격으로 판단될 수 있다. 즉, DNS 패킷의 식별자 필드 값과 플래그 필드의 QR 값(0 또는 1)을 매핑하여 공격 트래픽 여부를 판단한다.
이어서, 도 3을 참조하여 설명한 공격 형태(이하, 공격형태 1)에 다른 공격 탐지 방법에 대하여 설명하기로 한다.
도 4는 본 발명의 일 실시예에 따른 공격 탐지과정을 보여주는 시퀀스 차트로서, 도 3을 통해 설명된 공격형태 1의 공격을 탐지하기 위한 과정을 보여준다.
도 4를 참조하면 공격형태 1의 공격을 탐지하기 위한 과정은 DNS패킷 탐지 단계(410), 질의 메시지 처리 단계(420), 응답메시지 처리단계(430)를 포함하여 구성되는 것을 알 수 있다.
또한 도 4를 참조하면 본 발명의 일 실시예에 따른 공격형태 1의 공격을 탐지하기 위한 과정은 다음과 같이 설명될 수 있다.
DNS패킷 탐지 단계(410)에서는 네트워크 상에 전송되는 패킷 중 공격여부 판단을 위하여DNS 패킷을 탐지하고, 탐지된 DNS 패킷의 플래그 필드(40)를 참조하여 해당 패킷이 질의 메시지를 포함하고 있는지 응답 메시지를 포함하고 있는지 여부를 파악한다(411).
질의 메시지 처리 단계(420)는 해당 패킷이 질의 메시지를 포함하고 있는 경우, 해당 패킷과 동일한 발신지 주소(SIP: Source IP), 목적지 주소(DIP: Destination IP) 및 식별자(DNS ID)를 갖는 엔트리가 이전에 존재하였는지 여부를 검사하여(421). 만약 존재하지 않는다면, 해당 패킷에 대한 정보를 갖는 새로운 엔트리를 생성(422)하는 단계이다.
여기에서 엔트리는 SIP/DIP/DNS ID로 이루어진 관리 테이블을 의미하는데, 현재 패킷의 응답메시지에 대응되는 이전에 발생된 질의 메시지를 찾기 위하여 활용될 수 있다. 또한, 생성된 질의 메시지에 대한 응답 메시지가 소실된 경우, 불필요한 엔트리가 메모리 자원을 점유할 가능성이 존재하기 때문에, 필요에 따라 시간 임계치를 적용하여 관리될 필요가 있다.
응답메시지 처리단계(430)는 탐지된 DNS 패킷이 응답 메시지라면(431), 해당 DNS 패킷의 응답메시지에 대응되는 질의 메시지를 포함하는 이전 DNS패킷이 존재하는지 여부를 판단한다(432).
이때, 응답 메시지이기 때문에 검색된 질의 메시지의 IP 쌍을 바꾸어서 매핑하게 된다. 즉, 현재 유입 패킷의 SIP/DIP 쌍은 엔트리에 생성되어 있는 질의 메시지의 SIP/DIP 쌍과 역으로 매핑한다. 만약 해당 응답 메시지에 대응되는 질의 메시지가 존재하지 않는다면, 공격 패킷으로 간주되어 차단된다 (433).
반대로 대응하는 질의 메시지가 존재한다면, 해당 질의메시지에 대응하는 엔트리는 제거된다(434).
이와 같이, DNS 질의 및 응답 메시지에 대한 세션 관리를 통해서 공격 트래픽 여부를 판단하게 된다.
공격형태 2에 따른 공격 탐지방법의 실시예
도 5는 본 발명의 다른 실시예에 따른 공격 유형을 보여주는 개념도이다.
도 5를 참조하면, 동일 클라이언트(10)로부터 동일 식별자 A를 갖는 질의 메시지(510, 520, 530)가 연속적으로 도착하는 트래픽 형태를 보여준다.
이와 같이 동일 식별자 A(501) 를 갖는 질의 메시지(510, 520, 530)가 동일 클라이언트(10)로부터 짧은 시간 내에 연속적으로 유입된다면, 이는 공격으로 판단될 수 있다.
기본적으로 DNS 질의 각 어플리케이션이나 DNS 서버 상의 캐쉬(Cache) 메커니즘에 의해서, 연속적인 질의 발생이 불필요하다. 또한, 식별자까지 동일한 질의 발생은 인위적이라 할 수 있다. 일반적인 어플리케이션들의 캐쉬 유지 시간은 기본적으로 1초이며, DNS 서버 상의 유지 시간은 DNS 메시지 내의 정보들에 의해서 초 단위로 제어될 수 있다. 즉, 1초 이내의 짧은 시간 내에 위와 같은 트래픽 유형이 보여진다면, 이는 공격으로 판단될 수 있다(공격 형태2).
설령, 정상 패킷을 공격으로 판단하는 긍정 오류(false positive)의 가능성이 있다고 하더라도, 공격으로 판단할 연속적인 질의 발생 수를 상황에 따라 설정해 놓음으로써 해결 가능하다. 공격 형태 2 역시 공격 형태1과 마찬가지로 DNS 패킷의 식별자 필드 값과 플래그 필드의 QR 값을 추적함으로써, 공격 트래픽 여부에 대한 판단이 가능하다.
도 6은 본 발명의 다른 실시예에 따른 공격 탐지과정을 보여주는 시퀀스 차트로서, 도 5를 통해 설명된 공격형태 2의 공격을 탐지하기 위한 과정을 보여준다.
도 6을 참조하면 공격형태 2의 공격을 탐지하기 위한 과정은 DNS패킷 탐지 단계(610), 연속 질의 메시지 판별 및 처리 단계(620)를 포함하여 구성되는 것을 알 수 있다.
또한 도 6을 참조하면 본 발명의 일 실시예에 따른 공격형태 2의 공격을 탐지하기 위한 과정은 다음과 같이 설명될 수 있다.
DNS패킷 탐지 단계(610)에서는 네트워크 상에 전송되는 패킷 중 공격여부 판단을 위하여DNS 패킷을 탐지하고, 탐지된 DNS 패킷의 플래그 필드(40)를 참조하여 해당 패킷이 질의 메시지를 포함하고 있는지 여부를 파악한다(611).
연속 질의 메시지 판별 및 처리 단계(620)는 해당 패킷이 질의 메시지를 포함하고 있는 경우, 동일한 SIP/DIP/DNS ID를 갖는 엔트리가 존재하는지 여부를 검사한다(621). 즉 동일한 질의 메시지가 이전에 전송되었는지를 확인하는 것이다.
만약 해당 질의 메시지에 대응하는 엔트리가 존재한다면, 해당 질의 메시지가 도 5를 통해 언급된 캐쉬 시간(임계시간)이내에 발생한 것인지를 검사한다(예를 들면 현재 패킷의 질의 메시지 도달 직전 1초 이내)(622). 만약, 임계시간 내에 동일 식별자를 갖는 질의 메시지가 도달한 것이라면, 해당 패킷을 차단(drop)하고 해당 질의 메시지와 관련된 엔트리의 생성 시간을 현재 시간으로 변경한다(624). 임계 시간내에 발생한 메시지가 아니라면 해당 질의 메시지와 관련된 엔트리의 생성시간을 현재 시간으로 변경한다(625).
만약 해당 질의 메시지에 대응하는 엔트리가 존재한지 않는다면 해당 질의 메시지에 대한 정보를 갖는 엔트리를 생성한다(627).
이와 같은 공격형태2 의 탐지를 위한 엔트리 관리는 엔트리 관리에 드는 자원을 최소화하기 위하여 발생지 IP별로 가장 최근 몇 개의 DNS ID만을 관리하는 방식으로도 충분히 탐지가 가능하다. 즉, 공격형태2의 공격인 경우, 인위적인 식별자(DNS ID)만을 가지고 연속적으로 공격할 확률이 높기 때문이다.
공격형태 3에 따른 공격 탐지방법의 실시예
도 7는 본 발명의 또 다른 실시예에 따른 공격 유형을 보여주는 개념도이다.
도 7을 참조하면, 동일 클라이언트(10)로부터 동일 질문(701)을 포함하는 질의 메시지(710,7520, 730)가 연속적으로 도착하는 트래픽 형태를 보여준다.
이와 같이 동일 질문(701)을 갖는 질의 메시지(710, 720, 730)가 동일 클라이언트(10)로부터 짧은 시간 내에 연속적으로 유입된다면, 이는 공격으로 판단될 수 있다(공격형태 3).
즉, 도 5에서 언급한 것과 같이 1초 이내의 짧은 시간 내에 도 7과 같은 트래픽 유형이 보여진다면, 이는 공격으로 판단될 수 있다. 또한, 긍정 오류의 가능성이 있다고 하더라도, 공격으로 판단할 연속적인 질의 발생 수를 상황에 따라 설정해 놓음으로써 해결 가능하다. 공격 형태 3 역시 DNS 패킷의 식별자 필드 값과 플래그 필드의 QR 값을 추적함으로써, 공격 트래픽 여부에 대한 판단이 가능하다.
도 8은 본 발명의 또 다른 실시예에 따른 공격 탐지과정을 보여주는 시퀀스 차트로서, 도 7을 통해 설명된 공격형태 3의 공격을 탐지하기 위한 과정을 보여준다.
도 8을 참조하면 공격형태 3의 공격을 탐지하기 위한 과정은 DNS패킷 탐지 단계(810), 연속 질의 메시지 판별 및 처리 단계(820)를 포함하여 구성되는 것을 알 수 있다.
또한 도 8을 참조하면 본 발명의 일 실시예에 따른 공격형태 3의 공격을 탐지하기 위한 과정은 다음과 같이 설명될 수 있다.
DNS패킷 탐지 단계(810)에서는 네트워크 상에 전송되는 패킷 중 공격여부 판단을 위하여DNS 패킷을 탐지하고, 탐지된 DNS 패킷의 플래그 필드(40)를 참조하여 해당 패킷이 질의 메시지를 포함하고 있는지 여부를 파악한다(811).
연속 질의 메시지 판별 및 처리 단계(820)는 해당 패킷이 질의 메시지를 포함하고 있는 경우, 동일한 SIP/DIP/질문을 갖는 엔트리가 존재하는지 여부를 검사한다(821). 즉 동일한 질의 메시지가 이전에 전송되었는지를 확인하는 것이다.
만약 해당 질의 메시지에 대응하는 엔트리가 존재한다면, 해당 질의 메시지가 도 7을 통해 언급된 캐쉬 시간(임계시간)이내에 발생한 것인지를 검사한다(예를 들면 현재 패킷의 질의 메시지 도달 직전 1초 이내)(822). 만약, 임계시간 내에 동일 질문을 갖는 질의 메시지가 도달한 것이라면, 해당 패킷을 차단(drop)하고 해당 질의 메시지와 관련된 엔트리의 생성 시간을 현재 시간으로 변경한다(824). 임계 시간내에 발생한 메시지가 아니라면 해당 질의 메시지와 관련된 엔트리의 생성시간을 현재 시간으로 변경한다(825).
만약 해당 질의 메시지에 대응하는 엔트리가 존재한지 않는다면 해당 질의 메시지에 대한 정보를 갖는 엔트리를 생성한다(823).
이와 같은 공격형태3 의 탐지를 위한 엔트리 관리는 엔트리 관리에 드는 자원을 최소화하기 위하여 발생지 IP별로 가장 최근 몇 개의 질문만을 관리하는 방식으로도 충분히 탐지가 가능하다. 즉, 공격형태3의 공격인 경우, 인위적인 질문만을 가지고 연속적으로 공격할 확률이 높기 때문이다. 여기에서 질문 필드는 가변 길이이기 때문에, 해쉬 값 및 사이즈를 통한 매칭을 통해서 수행 속도를 높일 수 있다.
공격형태 4에 따른 공격 탐지방법의 실시예
도 9는 본 발명의 또 다른 실시예에 따른 공격 유형을 보여주는 개념도이다.
도 9을 참조하면, 동일 서버(20)로부터 동일 질문(901)을 포함하는, 즉 동일 질의에 따른 응답 메시지(910, 920, 930)가 연속적으로 도착하는 트래픽 형태를 보여준다.
이와 같이 동일 질문(901)을 갖는 응답 메시지(910, 920, 930)가 동일 서버(20)로부터 짧은 시간 내에 연속적으로 유입된다면, 이는 공격으로 판단될 수 있다(공격형태 4).
즉, 캐쉬 시간(임계 시간) 1초 이내의 짧은 시간 내에 도 9와 같은 트래픽 유형이 보여진다면, 이는 공격으로 판단될 수 있다. 또한, 긍정 오류의 가능성이 있다고 하더라도, 공격으로 판단할 연속적인 응답 메시지의 발생 수를 상황에 따라 설정해 놓음으로써 해결 가능하다. 공격 형태 4 역시 DNS 패킷의 식별자 필드 값과 플래그 필드의 QR 값을 추적함으로써, 공격 트래픽 여부에 대한 판단이 가능하다.
예를 들면, 클라이언트에서 질의 메시지를 보낼 때 클라이언트의 IP 주소를 의도하는 타겟IP주소로 변조(spoofiing)하여 질의메시지를 보낼 경우, 해당 서버는 해당 질의에 따른 응답 메시지를 클라이언트에서 의도한 타켓 클라이언트 IP주소로 응답하게 된다. 따라서, 동일한 응답메시지를 모니터링 하게 되는 지점이나 수신하는 측면에서는 이를 공격으로 판단하게 된다.
무엇보다도, 이러한 방법은 메시지를 보내는 곳이 어느 곳인지의 여부와 상관없이 공격을 감지할 수 있다는 것이며, IP Spoofing 등을 통한 DNS Amplification 공격에 효과적이다. 이는 응답 메시지가 질의 메시지의 질문필드 정보를 가지고 생성되기 때문에 가능하며, 이미 알고 있는 정보가 다시 유입되는 것을 기초로 판단하게 되는 것이다.
도 10은 본 발명의 또 다른 실시예에 따른 공격 탐지과정을 보여주는 시퀀스 차트로서, 도 9를 통해 설명된 공격형태 4의 공격을 탐지하기 위한 과정을 보여준다.
도 10을 참조하면 공격형태 4의 공격을 탐지하기 위한 과정은 DNS패킷 탐지 단계(1010), 연속 응답 메시지 판별 및 처리 단계(1020)를 포함하여 구성되는 것을 알 수 있다.
또한 도 10을 참조하면 본 발명의 또 다른 실시예에 따른 공격형태 4의 공격을 탐지하기 위한 과정은 다음과 같이 설명될 수 있다.
DNS패킷 탐지 단계(1010)에서는 네트워크 상에 전송되는 패킷 중 공격여부 판단을 위하여DNS 패킷을 탐지하고, 탐지된 DNS 패킷의 플래그 필드(40)를 참조하여 해당 패킷이 응답 메시지를 포함하고 있는지 여부를 파악한다(1011).
연속 응답 메시지 판별 및 처리 단계(1020)는 해당 패킷이 응답 메시지를 포함하고 있는 경우, 동일한 DIP/질문을 갖는 엔트리가 존재하는지 여부를 검사한다(1021). 즉 동일한 응답 메시지가 이전에 전송되었는지를 확인하는 것이다.
만약 해당 응답 메시지에 대응하는 엔트리가 존재한다면, 해당 응답 메시지가 도 9를 통해 언급된 캐쉬 시간(임계시간)이내에 발생한 것인지를 검사한다(예를 들면 현재 패킷의 질의 메시지 도달 직전 1초 이내)(1022). 만약, 임계시간 내에 동일 질문을 갖는 응답 메시지가 도달한 것이라면, 해당 패킷을 차단(drop)하고 해당 응답 메시지와 관련된 엔트리의 생성 시간을 현재 시간으로 변경한다(1024). 임계 시간내에 발생한 메시지가 아니라면 해당 응답 메시지와 관련된 엔트리의 생성시간을 현재 시간으로 변경한다(1025).
만약 해당 응답 메시지에 대응하는 엔트리가 존재한지 않는다면 해당 응답 메시지에 대한 정보를 갖는 엔트리를 생성한다(1023).
이와 같은 공격형태4 의 탐지를 위한 엔트리 관리는 엔트리 관리에 드는 자원을 최소화하기 위하여 발생지 IP별로 가장 최근 몇 개의 질문만을 관리하는 방식으로도 충분히 탐지가 가능하다. 단지 이들은 SIP가 아닌 목적지 IP, 즉 DIP별로 관리가 된다. 이 또한 엔트리 관리에 드는 자원을 최소화 시켜주며, 도 9에서 언급하였듯 질문에 대한 매칭은 해쉬 값 및 사이즈를 통해서 수행 속도를 높일 수 있다.
추가적으로, 대부분의 DNS Amplification 공격은 EDNS0 포맷을 이용한 긴 패킷의 부하 공격을 사용한다. 물론, 도 10에 의해서 대부분 탐지가 가능하나, 호스트 정보에 기반한 탐지 및 차단도 추가적으로 가능하다.
도 11은 본 발명의 또 다른 실시예에 따른 공격 탐지과정을 보여주는 시퀀스 차트로서, DNS Amplification 공격을 탐지하기 위한 과정을 보여준다.
DNS 패킷이 응답 메시지라면, 해당 메시지의 크기가 512바이트 이상인지 여부를 점검한다(1111). 512바이트 이상이면서 DIP에 해당하는 호스트가 EDNS0(Extension mechanisms for DNS version 0)형태를 제공하는 서버가 아니라면, 해당 패킷을 차단하게 된다(1123).
일반적으로 DNS 패킷의 크기는 512바이트로 제한되지만, EDNS0(DNS 확장 형식 버전 0)에 의해서 512바이트 이상이 지원되기 때문이다. 즉, EDNS0를 제공하지 않는 서버나 호스트로 해당 메시지가 전달된다는 것은 공격 네임서버(Attacker Name Server) 등에 의해서 임의로 생성된 것이라 생각할 수 있다. 따라서, 대부분의 DNS Amplification 공격은 이를 활용하기 때문에, 기본 탐지 및 대응 메커니즘으로 채택될 수 있다.
위에 설명된 공격형태1 ~ 공격형태4의 유형들은 간단한 엔트리 구성 및 대응하는 메시지 매칭으로 탐지 및 대응이 가능하며, 간단한 수행 및 자원 구성에 따라 하드웨어로의 구현 또한 용이하다. 즉, 소트프웨어로도 구현 가능하나, 실시간 대응 측면에서는 하드웨어로 구현할 경우 더 큰 효과를 얻을 수 있다. 이들 각각의 탐지 및 대응 메커니즘들은 서로 보완 사용될 때, 보다 정확한 탐지 및 대응을 제공하게 되며, 네트워크 단 뿐만 아니라 호스트 단에서의 적용 또한 무난하게 적용 가능하다.
무엇보다도, 상기의 공격 트래픽 형태들에 대한 탐지 및 대응 메커니즘들은 악의적인 트래픽을 실시간으로 차단해 주는데 큰 역할을 수행함으로써, 대상 서버 자체에 어떠한 부하도 주지 않고 대응할 수 있다. 또한, 하드웨어 자원의 최소 사용을 제공함으로써, 제한된 하드웨어 자원의 효율적인 사용을 가능케 한다.
마지막으로 상기의 대응 기법은 UDP 프로토콜의 특성상 가능한 Spoofing 공격 여부와 상관없이 패킷 단위의 대응이 가능한 장점을 지닌다.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (12)

  1. 네트워크 상에 연결된 컴퓨터 장치에서 수행되고, 네트워크를 통해 전송되는 DNS(Domain Name Server)패킷을 검사하여 공격을 탐지하는 방법에 있어서,
    상기 전송되는 패킷에 포함된 메시지와 동일 유형의 메시지를 포함하고, 상기 전송되는 패킷과 특정 주소지와 특정 필드 값이 동일한 DNS 패킷이, 이전에 일정한 수 이상 임계 시간 내에 발생하였는지 여부를 판단하는 단계; 및
    상기 임계 시간 내에 상기와 같이 동일한DNS 패킷이 일정한 수 이상 발생하였다고 판단한 경우 상기 전송되는 DNS 패킷을 공격과 관련된 패킷이라고 판단하는 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  2. 제 1항에 있어서,
    상기 DNS 패킷이 질의 메시지를 포함하는 경우, 상기 특정 주소지는 발신지 주소와 목적지 주소를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  3. 제 1항에 있어서,
    상기 DNS 패킷이 응답 메시지를 포함하는 경우, 상기 특정 주소지는 목적지 주소를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  4. 제 1항 내지 제 3항 중 어느 하나의 항에 있어서,
    상기 특정 필드는 식별자 필드 및 질문 필드 중 적어도 하나를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  5. 제 1항에 있어서,
    상기 전송되는 패킷을 공격과 관련된 패킷이라고 판단하는 경우 상기 전송되는 패킷을 차단하는 단계를 더 포함하는 것을 특징으로 하는 공격 탐지 방법.
  6. 제 1항 내지 제 3항 중 어느 하나의 항에 있어서,
    상기 이전에 발생한 DNS 패킷에 대한 정보는 별도의 데이터베이스를 통해 관리되어 참조되고, 상기 데이터 베이스에는 이전에 발생한 패킷에 대한 정보와 발생 시간이 저장되고,
    상기 패킷에 대한 정보는 식별자, 발신지 주소, 목적지 주소 및 질문 중 최소 하나를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  7. 네트워크 상에 연결된 컴퓨터 장치에서 수행되고, 응답 메시지를 포함하는 DNS(Domain Name Server) 패킷을 검사하여 공격을 탐지하는 방법에 있어서,
    이전에 전송된 DNS 패킷 중 상기 DNS 패킷의 응답메시지에 대응되는 질의 메시지를 포함하는 이전 패킷이 존재하는지 여부를 판단하는 단계; 및
    상기 응답 메시지에 대응되는 질의 메시지를 포함하는 이전 패킷이 존재하지 않는다고 판단한 경우 상기 응답 메시지를 포함하는 DNS 패킷을 공격과 관련된 패킷으로 판단하는 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  8. 제 7항에 있어서,
    상기 이전 패킷의 존재여부의 판단은 상기 응답 메시지를 포함하는 DNS 패킷의 식별자, 목적지 주소 및 발신지 주소를, 질의 메시지를 포함하는 이전 패킷의 식별자, 발신지 주소 및 목적지 주소와 각각 비교함으로써 판단하는 것을 특징으로 하는 공격 탐지 방법.
  9. 제 7항에 있어서,
    상기 질의 메시지를 포함하는 패킷에 대한 정보는 별도의 데이터베이스를 통해 관리되어 참조되고, 상기 데이터 베이스에는 질의 메시지를 포함하는 패킷의 식별자, 발신지 주소 및 목적지 주소를 포함하는 것을 특징으로 하는 공격 탐지 방법.
  10. 제 7항에 있어서,
    상기 응답 메시지를 포함하는 패킷을 공격과 관련된 패킷이라고 판단하는 경우 상기 응답 메시지를 포함하는 패킷을 차단하는 단계를 더 포함하는 것을 특징으로 하는 공격 탐지 방법.
  11. 네트워크 상에 연결된 컴퓨터 장치에서 수행되고, 응답 메시지를 포함하는 DNS패킷을 검사하여 공격을 탐지하는 방법 있어서,
    상기 전송되는 DNS 패킷의 응답 메시지의 크기가 최대 허용 크기를 초과하는 지 여부를 판단하는 단계; 및
    상기 응답 메시지의 크기가 상기 최대 허용 크기를 초과하는 경우, 상기 패킷이 ENDS0(Extension mechanisms for DNS version 0)을 제공하지 않는 서버 또는 호스트로 전달된다면 상기 DNS 패킷을 공격으로 판단하는 것을 특징으로 하는 공격 탐지 방법.
  12. 제 11항에 있어서,
    상기 최대 허용 크기는 512 바이트인 것을 특징으로 하는 공격 탐지 방법.
KR1020110076207A 2011-07-29 2011-07-29 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 KR20130014226A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020110076207A KR20130014226A (ko) 2011-07-29 2011-07-29 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
US13/529,961 US8943586B2 (en) 2011-07-29 2012-06-21 Methods of detecting DNS flooding attack according to characteristics of type of attack traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110076207A KR20130014226A (ko) 2011-07-29 2011-07-29 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법

Publications (1)

Publication Number Publication Date
KR20130014226A true KR20130014226A (ko) 2013-02-07

Family

ID=47598398

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110076207A KR20130014226A (ko) 2011-07-29 2011-07-29 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법

Country Status (2)

Country Link
US (1) US8943586B2 (ko)
KR (1) KR20130014226A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180030593A (ko) * 2015-08-13 2018-03-23 알리바바 그룹 홀딩 리미티드 네트워크 공격 방지 방법, 장치 및 시스템
CN114866342A (zh) * 2022-06-30 2022-08-05 广东睿江云计算股份有限公司 流量特征识别方法、装置、计算机设备及存储介质

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10742591B2 (en) 2011-07-06 2020-08-11 Akamai Technologies Inc. System for domain reputation scoring
US11201848B2 (en) 2011-07-06 2021-12-14 Akamai Technologies, Inc. DNS-based ranking of domain names
US9843601B2 (en) * 2011-07-06 2017-12-12 Nominum, Inc. Analyzing DNS requests for anomaly detection
CN103152357B (zh) * 2013-03-22 2015-09-30 北京网御星云信息技术有限公司 一种针对dns服务的防御方法、装置和系统
CN104243408B (zh) * 2013-06-14 2017-11-21 中国移动通信集团公司 域名解析服务dns系统中监控报文的方法、装置及系统
US9191403B2 (en) * 2014-01-07 2015-11-17 Fair Isaac Corporation Cyber security adaptive analytics threat monitoring system and method
CN104202344B (zh) * 2014-09-28 2018-02-27 互联网域名系统北京市工程研究中心有限公司 一种针对DNS服务防DDoS攻击的方法及装置
KR102154788B1 (ko) * 2014-10-02 2020-09-11 삼성전자주식회사 무선 통신 시스템의 단말에서 DNS(Domain Name Service) 레졸루션 방법 및 장치
WO2016164050A1 (en) * 2015-04-10 2016-10-13 Hewlett Packard Enterprise Development Lp Network anomaly detection
JP6098687B2 (ja) * 2015-09-10 2017-03-22 日本電気株式会社 通信先判定装置、通信先判定方法、及び、通信先判定プログラム
CN105391692B (zh) * 2015-10-19 2018-08-07 广州车行易信息科技有限公司 对app和网关通信进行批量攻击的检测识别方法及装置
CN105306621B (zh) * 2015-11-24 2018-05-29 北京天地互连信息技术有限公司 一种基于应用层dns消息分割的dns包扩展方法
EP3400694B1 (en) * 2016-01-08 2023-10-25 BELDEN Inc. Method and protection apparatus to prevent malicious information communication in ip networks by exploiting benign networking protocols
CN107517195B (zh) * 2016-06-17 2021-01-29 阿里巴巴集团控股有限公司 一种内容分发网络定位攻击域名的方法和装置
JP6354797B2 (ja) * 2016-06-24 2018-07-11 トヨタ自動車株式会社 燃料電池単セル
CN107707512B (zh) * 2016-11-17 2020-04-03 杭州迪普科技股份有限公司 一种报文的防护方法及装置
US10547636B2 (en) * 2016-12-28 2020-01-28 Verisign, Inc. Method and system for detecting and mitigating denial-of-service attacks
TWI787168B (zh) * 2017-01-19 2022-12-21 香港商阿里巴巴集團服務有限公司 網路攻擊的防禦方法、裝置及系統
US10911483B1 (en) * 2017-03-20 2021-02-02 Amazon Technologies, Inc. Early detection of dedicated denial of service attacks through metrics correlation
EP3382479B1 (en) * 2017-03-31 2023-07-05 ABB Schweiz AG Rule-based communicating of equipment data from an industrial system to an analysis system using uni-directional interfaces
CN107547507B (zh) * 2017-06-27 2021-07-09 新华三技术有限公司 一种防攻击方法、装置、路由器设备及机器可读存储介质
CN107592300A (zh) * 2017-08-16 2018-01-16 中国银行股份有限公司 一种防机器人攻击的方法及系统
CN110661763B (zh) * 2018-06-29 2021-11-19 阿里巴巴集团控股有限公司 一种DDoS反射攻击防御方法、装置及其设备
CN109617868B (zh) * 2018-12-06 2021-06-25 腾讯科技(深圳)有限公司 一种ddos攻击的检测方法、装置及检测服务器
CN109922072B (zh) * 2019-03-18 2021-07-16 腾讯科技(深圳)有限公司 一种分布式拒绝服务攻击检测方法及装置
CN110636072B (zh) * 2019-09-26 2021-05-14 腾讯科技(深圳)有限公司 一种目标域名的调度方法、装置、设备及存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100623554B1 (ko) 2004-12-16 2006-10-16 한국정보보호진흥원 인터넷서비스 생존성 확보를 위한 dns/dhcp 서버침입감내기술
US7609625B2 (en) 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
KR20100071747A (ko) 2008-12-19 2010-06-29 주식회사 케이티 서비스 거부 공격을 탐지하는 단말, 네트워크 장비 및 방법
US9270646B2 (en) * 2009-04-20 2016-02-23 Citrix Systems, Inc. Systems and methods for generating a DNS query to improve resistance against a DNS attack
CN101567815B (zh) * 2009-05-27 2011-05-11 清华大学 域名服务器dns放大攻击的有效检测与抵御方法
KR101048513B1 (ko) 2009-10-13 2011-07-12 연세대학교 산학협력단 애드 혹 네트워크에서의 악의적 플러딩 공격에 대한 대처 방법 및 장치

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180030593A (ko) * 2015-08-13 2018-03-23 알리바바 그룹 홀딩 리미티드 네트워크 공격 방지 방법, 장치 및 시스템
CN114866342A (zh) * 2022-06-30 2022-08-05 广东睿江云计算股份有限公司 流量特征识别方法、装置、计算机设备及存储介质
CN114866342B (zh) * 2022-06-30 2023-01-17 广东睿江云计算股份有限公司 流量特征识别方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
US20130031626A1 (en) 2013-01-31
US8943586B2 (en) 2015-01-27

Similar Documents

Publication Publication Date Title
KR20130014226A (ko) 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
US20200177556A1 (en) Methods and systems for api deception environment and api traffic control and security
CN109951500B (zh) 网络攻击检测方法及装置
US8661544B2 (en) Detecting botnets
US8561188B1 (en) Command and control channel detection with query string signature
US20050278779A1 (en) System and method for identifying the source of a denial-of-service attack
Chapade et al. Securing cloud servers against flooding based DDoS attacks
Guo et al. Spoof detection for preventing dos attacks against dns servers
CN108270722B (zh) 一种攻击行为检测方法和装置
Arukonda et al. The innocent perpetrators: reflectors and reflection attacks
CN110266650B (zh) Conpot工控蜜罐的识别方法
US20130263268A1 (en) Method for blocking a denial-of-service attack
Jeyanthi et al. Packet resonance strategy: a spoof attack detection and prevention mechanism in cloud computing environment
KR101045330B1 (ko) 네트워크 기반의 http 봇넷 탐지 방법
Boppana et al. Analyzing the vulnerabilities introduced by ddos mitigation techniques for software-defined networks
CN113765849B (zh) 一种异常网络流量检测方法和装置
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet
Malliga et al. A proposal for new marking scheme with its performance evaluation for IP traceback
US10771391B2 (en) Policy enforcement based on host value classification
Bellaïche et al. SYN flooding attack detection by TCP handshake anomalies
Park et al. An effective defense mechanism against DoS/DDoS attacks in flow-based routers
KR101400127B1 (ko) 비정상 데이터 패킷 검출 방법 및 장치
WO2020231688A1 (en) Using the state of a request routing mechanism to inform attack detection and mitigation
Mopari et al. Detection of DDoS attack and defense against IP spoofing
Tzur-David et al. Delay fast packets (dfp): Prevention of dns cache poisoning

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid