KR20150132746A - Method and system for protecting DDoS attack - Google Patents

Method and system for protecting DDoS attack Download PDF

Info

Publication number
KR20150132746A
KR20150132746A KR1020140058969A KR20140058969A KR20150132746A KR 20150132746 A KR20150132746 A KR 20150132746A KR 1020140058969 A KR1020140058969 A KR 1020140058969A KR 20140058969 A KR20140058969 A KR 20140058969A KR 20150132746 A KR20150132746 A KR 20150132746A
Authority
KR
South Korea
Prior art keywords
address
ddos
communication terminal
attack
new
Prior art date
Application number
KR1020140058969A
Other languages
Korean (ko)
Other versions
KR102193588B1 (en
Inventor
허근형
김태균
방재혁
배준환
임호문
서경덕
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020140058969A priority Critical patent/KR102193588B1/en
Publication of KR20150132746A publication Critical patent/KR20150132746A/en
Application granted granted Critical
Publication of KR102193588B1 publication Critical patent/KR102193588B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

The present invention relates to a method for blocking a distributed denial of service (DDoS) attack through remote control of a communications terminal of a customer, and a system for blocking the DDoS attack therefor. The method of the present invention comprises: an IP reallocating control step in which a customer terminal remote control device controls a new IP address to be reallocated to a communications terminal device having an attack target IP address allocated therein when a DDoS detection device detects the DDoS attack with respect to a dynamic IP address allocated in the communications terminal device; an IP reallocating confirmation step in which the DDoS detection device confirms reallocation of the new IP address for the communications terminal device of a dynamic host configuration protocol (DHCP) server according to an IP reallocation request from the communications terminal device; and an attack target IP blocking step in which the DDoS blocking device blocks the attack target IP address according to the reallocation of the new IP address for the communications terminal device. According to the present invention, when detecting the DDoS attack with respect to a dynamic IP address allocated to the communications terminal device of the customer, the attack target IP address is recovered in real time, the communications terminal device is controlled, and the new IP address is reallocated, thereby maintaining connection of Internet communications with respect to the communications terminal device without disconnection to block packet transmission caused by the DDoS attack, so damage to an Internet service provider (ISP) network can be prevented.

Description

고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법 및 이를 위한 DDoS 공격 차단 시스템 {Method and system for protecting DDoS attack}TECHNICAL FIELD The present invention relates to a DDoS attack prevention method and a DDoS attack prevention method,

본 발명은 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법 및 이를 위한 DDoS 공격 차단 시스템에 대한 것으로서, 보다 상세하게는 고객의 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격 탐지시에 상기 통신 단말 장치가 신규 IP 주소를 재할당 받도록 제어하고 공격 대상 IP 주소로 전송되는 패킷들은 우회시켜 차단하는 것을 특징으로 하는 DDoS 공격 차단 방법과 이를 구현하는 DDoS 공격 차단 시스템에 관한 것이다.
The present invention relates to a DDoS attack blocking method and a DDoS attack blocking system for remotely controlling a communication terminal of a customer. More particularly, the present invention relates to a DDoS attack blocking method, The present invention is directed to a DDoS attack blocking method and a DDoS attack blocking system implementing the DDoS attack blocking method, characterized in that the terminal device is controlled to receive a new IP address and the packets transmitted to the attack target IP address are bypassed.

분산서비스거부 공격(DDoS: Distributed Denial of Service)은 공격자가 여러 시스템을 해킹하여 공격 코드를 심어놓은 후, 원격으로 제어하여 일제히 대상 타겟(victim)를 공격하는 형태이다.Distributed Denial of Service (DDoS) is a type in which an attacker hackes several systems to plant an attack code, and then remotely controls and attacks the victim.

도 1은 DDoS 공격의 개념도를 도시하는데, DDoS 공격은 다수의 공격 발신지점에서 수행하며 공격방식은 공격자가 여러 공격대행자를 두고 자신은 공격대행자 뒤에서 공격에 대한 최초 신호만 전송한다. 이때 각각의 공격대행자들은 여러 취약한 시스템을 해킹하거나 도용하여 공격의 실체가 되는 공격 데몬 프로그램을 설치하므로 공격 데몬은 물리적으로 분리된 시스템에 위치하게 된다.FIG. 1 shows a conceptual diagram of a DDoS attack, in which a DDoS attack is performed at a plurality of attack origination points. In an attack mode, an attacker has multiple attack agents and only transmits an initial signal for an attack behind an attack agent. At this time, each attacking agent installs an attacking daemon program that hackes or steals several vulnerable systems, and the attacking daemon is physically located on a separate system.

즉, DDoS 공격은 공격자가 최상위에 위치하고, 그 하위에 다수의 공격 대행자가 위치되며, 다시 그 하위에 다수의 공격 데몬이 위치하는 계층구조로 구성되며, 데몬이 설치된 시스템에서 실제 DDoS 공격이 감행된다.That is, a DDoS attack consists of a hierarchy in which an attacker is located at the top, a plurality of attack agents are located under the attacker, and a plurality of attack daemons are located under the attacker, and an actual DDoS attack is performed in a system in which the daemon is installed .

이러한 DDoS 공격은 지속시간이 수분에서 수십분이며 많아야 1시간을 넘지 않고 공격이 종료되지만, 짧은 시간에 다량의 유해 트래픽을 특정 공격 대상 IP 주소에 집중시킴으로써 타겟을 마비시키는 강력한 파괴력을 가지며, 나아가서 네트워크 전체의 자원을 고갈시키는 한편 네트워크에 심각한 부하를 주어 해당 네트워크를 마비시키기도 한다. These DDoS attacks have a duration of several minutes to several tens of minutes and end the attack without exceeding 1 hour at most. However, they have a powerful destructive power to paralyze a target by concentrating a large amount of harmful traffic on a specific attacked IP address in a short time, While exhausting the resources of the network and giving serious burden to the network.

이와 같은 DDoS 공격을 차단하는 안정적인 방안은 DDoS 공격에 따른 유해 트래픽 자체를 차단하는 방식으로서, 블랙홀 라우팅(Triggered Blackhole Routing)이나 싱크홀 라우팅(Sinkhole Routing) 등이 제시된 바 있다.A reliable way to block such DDoS attacks is to block harmful traffic itself due to DDoS attacks, and it has been suggested that there are Triggered Blackhole Routing and Sinkhole Routing.

블랙홀 라우팅은 라우터에서 특정 목적지 IP 주소로 전송되는 모든 트래픽을 차단한 후 일종의 폐기장소로 보내 소멸시키는 방법이며, 싱크홀 라우팅은 블랙홀 라우팅과 유사하게 유해 트래픽과 관련된 패킷들을 특정 네트워크로 우회하여 트래픽을 분석하는 방법으로서, 현재 대부분의 통신사들은 DNS 서버에 싱크홀을 적용하여 운영중에 있다. 도 2는 싱크홀 라우팅 방식으로 DDoS 공격을 차단하는 구성을 도시하는데, 공격자(10)가 다수의 좀비 PC들(15)을 통해 특정 고객 통신 단말 장치(50)에 할당된 동적 IP 주소를 타켓으로 공격을 시도하는 경우에 유해 트래픽과 관련된 패킷들을 싱크홀(70)로 우회시켜 공격을 차단할 수 있다.Blackhole routing is a method of blocking all traffic from a router to a specific destination IP address and sending it to a kind of disposal site. Sinkhole routing bypasses packets related to harmful traffic to a specific network, similar to black hole routing. As a method of analysis, currently most carriers are operating a sinkhole in a DNS server. FIG. 2 shows a configuration for blocking a DDoS attack by a sinkhole routing method. The attacker 10 may target a dynamic IP address assigned to a specific customer communication terminal device 50 via a plurality of zombie PCs 15 It is possible to bypass the attack by bypassing packets related to harmful traffic to the sink hole 70 when an attack is attempted.

그러나 이와 같은 방식은 공격 대몬인 좀비 PC들(15)이 발송하는 비정상적인 공격성 패킷과 일반 고객(20)이 발송하는 정상적인 서비스 요청 패킷을 정확히 구분하는 것이 용이하지 않기 때문에 DDoS 공격에 따른 패킷만을 탐지하는 것 자체가 어려워 DDoS 공격에 따른 유해 트래픽뿐만 아니라 일반 고객(20)이 발송하는 정상적인 패킷까지도 싱크홀(70)로 우회시켜 차단한다는 문제점이 있으며, 이로 인해 고객의 통신 단말 장치(50) 자체가 불통되는 경우가 발생된다.However, since it is not easy to distinguish between abnormal aggressive packets sent by the attack daemon zombie PCs 15 and normal service request packets sent by the general customer 20, only the packets due to the DDoS attack are detected There is a problem in that not only the harmful traffic due to the DDoS attack but also the normal packets sent by the general customer 20 are also diverted to the sink hole 70 and blocked thereby causing the communication terminal apparatus 50 itself .

나아가서 동적 IP 주소를 할당하는 DHCP 서버가 랜덤하게 동적 IP를 생성하지만 일반적으로 동일한 통신 단말 장치에 대해서는 가장 최근에 할당하였던 동적 IP 주소를 다시 할당하는 경향이 있으므로 상기와 같은 블랙홀 라우팅 방식이나 싱크홀 라우팅 방식으로 DDoS 공격을 차단함에 따라 통신 단말 장치가 불통되어 다시 재부팅을 시도하여도 DHCP 서버는 다시 최근에 할당하였던 동일한 동적 IP 주소를 할당함으로써 통신 단말 장치의 불통이 지속되게 된다. 또한 DHCP 서버가 일정한 주기로 새로운 동적 IP 주소를 할당하는 방식이 제시되었으나, 네트워크 환경을 고려하여 IP 주소를 수시로 변경할 수 없기에 30분에서 1시간 정도의 시간 간격으로 IP 주소를 변경함에 따라서 DDoS 공격으로 마비된 고객의 통신 단말 장치는 다음의 IP 주소 변경 주기동안은 네트워크 접속이 이루어지지 않는 불편함이 있다.
Furthermore, a DHCP server that assigns a dynamic IP address randomly generates a dynamic IP, but generally tends to reallocate the dynamic IP address most recently assigned to the same communication terminal device. Therefore, The DDoS attack is blocked. Therefore, even if the communication terminal apparatus attempts to reboot again after the communication terminal apparatus is disconnected, the DHCP server again allocates the same dynamic IP address that was recently assigned, so that the communication terminal apparatus continues to be disconnected. In addition, although the DHCP server has been proposed to allocate a new dynamic IP address at regular intervals, since the IP address can not be changed from time to time in consideration of the network environment, the IP address is changed at a time interval of 30 minutes to 1 hour, The customer's communication terminal apparatus is inconvenient that the network connection is not made during the next IP address change period.

본 발명은 상술한 바와 같은 종래 기술의 문제점을 해결하고자 하는 것으로서, 고객의 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격 발생시 블랙홀 라우팅이나 싱크홀 라우팅 방식으로 DDoS 공격을 차단함에 따라 유해 트래픽에 따른 패킷뿐만 아니라 정상적인 패킷까지도 차단시킴으로써 고객의 통신 단말 장치가 마비되는 문제점을 해결하고자 한다.SUMMARY OF THE INVENTION The present invention has been made to solve the above problems of the prior art, and it is an object of the present invention to provide a method and apparatus for preventing DDoS attack by black hole routing or sinkhole routing method in case of DDoS attack on a dynamic IP address allocated to a communication terminal of a customer, The present invention is intended to solve the problem that the communication terminal apparatus of the customer is paralyzed by blocking not only the packet according to the present invention but also the normal packet.

나아가서 DHCP 서버가 일반적으로 동일한 통신 단말 장치에 대해서는 동일한 동적 IP 주소를 다시 할당하는 경향을 가짐에 따라 DDoS 공격으로 마비된 통신 단말 장치를 재부팅을 시도하여도 DHCP 서버가 다시 동일한 동적 IP 주소를 할당함으로써 통신 단말 장치의 불통이 지속되는 문제점을 해결하고자 한다. Furthermore, since the DHCP server generally tends to reallocate the same dynamic IP address for the same communication terminal apparatus, even when the communication terminal apparatus paralyzed by the DDoS attack is tried to be rebooted, the DHCP server again assigns the same dynamic IP address Thereby solving the problem that the disconnection of the communication terminal apparatus continues.

또한 DHCP 서버가 일정한 주기로 새로운 동적 IP 주소를 할당하는 방식의 경우에 네트워크 환경을 고려하여 IP 주소를 수시로 변경할 수 없기에 일정 주기 시간 간격으로 IP 주소를 변경함에 따라서 DDoS 공격으로 마비된 고객의 통신 단말 장치가 다음번 IP 주소 변경이 이루어지기 전까지는 네트워크 접속이 이루어지지 않는 불편함을 해소하고자 한다.
Also, in the case of a method in which the DHCP server allocates a new dynamic IP address at regular intervals, the IP address can not be changed from time to time in consideration of the network environment. Therefore, Attempts to solve the inconvenience that the network connection is not made until the next IP address change is performed.

상기 기술적 과제를 달성하고자 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법은, 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격을 DDoS 탐지 장치가 탐지시, 고객 단말 원격 제어장치가 공격 대상 IP 주소가 할당된 통신 단말 장치에 신규 IP 주소를 재할당 받도록 제어하는 IP 재할당 제어 단계; 상기 DDoS 탐지 장치가 상기 통신 단말 장치로부터의 IP 재할당 요청에 따른 DHCP 서버의 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당을 확인하는 IP 재할당 확인 단계; 및 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 DDoS 차단 장치가 상기 공격 대상 IP 주소로 전송되는 패킷을 차단하는 공격 대상 IP 차단 단계를 포함할 수 있다.According to another aspect of the present invention, there is provided a method for blocking a DDoS attack by remote control of a communication terminal of a customer, comprising the steps of: detecting, when a DDoS detection device detects a DDoS attack on a dynamic IP address allocated to a communication terminal device, An IP reallocation control step of controlling the communication terminal apparatus to assign a new IP address to the communication terminal apparatus to which the attacking target IP address is assigned; An IP reassignment checking step of confirming reassignment of the new IP address of the DHCP server to the communication terminal device in response to the IP reassignment request from the communication terminal device by the DDoS detecting device; And an attack target IP blocking step of blocking a packet transmitted to the attack target IP address by the DDoS blocking device according to reallocation of a new IP address to the communication terminal apparatus.

바람직하게는 상기 IP 재할당 제어 단계는, 상기 DDoS 탐지 장치가 DDoS 공격 탐지에 따른 공격 대상 IP 주소를 확인하는 단계; 상기 DDoS 탐지 장치가 상기 DHCP 서버의 IP 주소 풀(Pool)에서 상기 공격 대상 IP 주소를 제외시키도록 제어하고 이를 확인하는 단계; 및 상기 고객 단말 원격 제어장치가 상기 통신 단말 장치에 대하여 재부팅하도록 고객 통신 단말 제어 신호를 생성하여 전송하는 단계를 포함할 수 있다.Preferably, the IP reallocation control step includes: the DDoS detection device checking an attack target IP address according to the DDoS attack detection; Controlling the DDoS detection device to exclude the attacking target IP address from an IP address pool of the DHCP server and confirming the same; And generating and transmitting a customer communication terminal control signal so that the customer terminal remote control device reboots to the communication terminal device.

그리고 상기 IP 재할당 확인 단계는, 상기 통신 단말 장치가 리부팅되고 IP 주소의 재할당을 상기 DHCP 서버에 요청하여 신규 IP 주소가 재할당되는 단계; 및 상기 DDoS 탐지 장치가 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당을 상기 DHCP 서버를 통해 확인하는 단계를 포함할 수 있다.The IP reallocation checking step may include re-allocating a new IP address by requesting the DHCP server to reallocate the IP address and rebooting the communication terminal apparatus; And a step in which the DDoS detection device confirms reassignment of a new IP address to the communication terminal device through the DHCP server.

또한 상기 공격 대상 IP 차단 단계는, 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 상기 DDoS 탐지 장치가 상기 공격 대상 IP 주소를 상기 DDoS 차단 장치로 전송하는 단계; 및 상기 DDoS 차단 장치가 상기 공격 대상 IP 주소로 전송되는 패킷을 차단하는 단계를 포함할 수 있다.The attacking target IP blocking step may include: transmitting the attacking target IP address to the DDoS blocking device by the DDoS detecting device according to reallocation of a new IP address to the communication terminal device; And blocking the packet transmitted to the attacking target IP address by the DDoS blocking device.

나아가서 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법은, 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격의 탐지에 따라 DDoS 탐지 장치로부터 DHCP 서버가 공격 대상 IP 주소를 전달받는 단계; 상기 DHCP 서버가 IP 주소 풀(Pool)에서 공격 대상 IP 주소를 제외시키는 단계; 상기 DHCP 서버가 상기 통신 단말 장치로부터 신규 IP 주소의 재할당을 요청받는 단계; 및 상기 DHCP 서버가 상기 통신 단말 장치로 신규 IP 주소를 재할당하고 상기 통신 단말 장치에 대한 신규 IP 주소 재할당 완료 신호를 상기 DDoS 탐지 장치로 전송하는 단계를 포함할 수 있다.Further, a method for blocking a DDoS attack by remote control of a communication terminal of a customer according to the present invention is characterized in that a DDoS attack on a dynamic IP address allocated to a communication terminal apparatus is detected, step; The DHCP server excluding an attack target IP address from an IP address pool; Receiving a reallocation of a new IP address from the communication terminal device by the DHCP server; And the DHCP server reallocating a new IP address to the communication terminal apparatus and transmitting a new IP address reallocation completion signal to the DDoS detecting apparatus to the communication terminal apparatus.

한 걸음 더 나아가서 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법은, 통신 단말 장치의 할당된 동적 IP 주소에 대한 DDoS 공격 탐지에 따라, 상기 통신 단말 장치가 고객 단말 원격 제어장치로부터 IP 주소 재할당에 대한 고객 통신 단말 제어 신호를 전송받는 단계; 상기 통신 단말 장치가 상기 고객 통신 단말 제어 신호를 기초로 재부팅을 수행하고 DHCP 서버로 신규 IP 주소의 재할당을 요청하는 단계; 및 상기 통신 단말 장치가 상기 DHCP 서버로부터 신규 IP 주소를 할당받고, 상기 신규 IP 주소를 통해 연결되는 단계를 포함할 수 있다.A method for blocking a DDoS attack by remote control of a communication terminal of a customer according to the present invention further includes detecting a DDoS attack on an assigned dynamic IP address of a communication terminal apparatus, Receiving a customer communication terminal control signal for IP address reallocation; The communication terminal device performs a reboot based on the customer communication terminal control signal and requests reallocation of a new IP address to a DHCP server; And a step in which the communication terminal apparatus is allocated a new IP address from the DHCP server and is connected through the new IP address.

또한 상기 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법을 구현하기 위한 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템은, 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격 탐지시, 공격 대상 IP 주소가 할당된 통신 단말 장치를 제어하여 신규 IP 주소를 재할당 받도록 하고, 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 상기 공격 대상 IP 주소로 전송되는 패킷을 차단하는 것을 특징으로 한다.A DDoS attack blocking system for remotely controlling a communication terminal of a customer according to the present invention for implementing a DDoS attack blocking method by remote control of a communication terminal of a customer includes a DDoS attack detection , The control unit controls the communication terminal unit to which the attack target IP address is assigned to receive the new IP address and blocks the packet transmitted to the attack destination IP address according to the reassignment of the new IP address to the communication terminal unit .

바람직하게는 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격을 탐지하는 DDoS 탐지 장치; DDoS 공격 탐지에 따라 공격 대상 IP 주소가 할당된 통신 단말 장치가 DHCP 서버로부터 신규 IP 주소를 재할당받도록 제어하는 고객 단말 원격 제어 장치; 및 상기 통신 단말 장치에 대한 신규 IP 주소 재할당에 따라 상기 공객 대상 IP 주소로 전송되는 패킷을 차단하는 DDoS 차단 장치를 포함할 수 있다.A DDoS detecting device for detecting a DDoS attack on a dynamic IP address assigned to the communication terminal device; A client terminal remote control device for controlling the communication terminal device to which the attacking target IP address is assigned to receive the new IP address from the DHCP server according to the DDoS attack detection; And a DDoS blocking device for blocking a packet transmitted to the destination IP address according to a new IP address reallocation to the communication terminal device.

나아가서 상기 DDoS 탐지 장치는, 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격을 탐지하고, 공격 대상 IP 주소를 확인하여 상기 고객 단말 원격 제어 장치에 제공하는 DDoS 탐지부; DHCP 서버와 연동하여 상기 DHCP 서버의 IP 주소 풀(Pool)에서 공격 대상 IP 주소를 제외시키고, 상기 통신 단말 장치에 대한 상기 DHCP 서버의 신규 IP 주소의 재할당을 확인하는 DHCP 연동부; 및 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 상기 공격 대상 IP 주소를 상기 DDoS 차단 장치로 전송하는 공격 차단 제어부를 포함할 수도 있다.
Further, the DDoS detection device may include a DDoS detection unit that detects a DDoS attack on a dynamic IP address assigned to a communication terminal device, identifies an attack target IP address, and provides the attacked IP address to the remote control device of the customer terminal; A DHCP interworking unit interlocking with a DHCP server to exclude an attack target IP address from an IP address pool of the DHCP server and confirm reassignment of a new IP address of the DHCP server to the communication terminal apparatus; And an attack blocking controller for transmitting the attacking target IP address to the DDoS blocking device according to the reallocation of a new IP address to the communication terminal.

이와 같은 본 발명에 의하면, 고객의 통신 단말 장치로 할당된 동적 IP 주소에 대한 DDoS 공격 탐지시에 공격 대상 IP 주소를 실시간 회수하고 상기 통신 단말 장치를 제어하여 신규 IP 주소를 재할당함으로써 상기 통신 단말 장치에 대한 인터넷 통신의 연결이 끊김 없이 유지되면서 DDoS 공격에 따른 패킷 전송을 차단하여 ISP(Internet Service Provider) 네트워크의 피해를 방지할 수 있다.According to the present invention, when a DDoS attack on a dynamic IP address assigned to a communication terminal of a customer is detected, an attack target IP address is recovered in real time, and the communication terminal is controlled to reassign a new IP address, The connection of the Internet communication to the device is kept uninterrupted, and the packet transmission due to the DDoS attack is blocked, thereby preventing damage to the ISP (Internet Service Provider) network.

특히, 고객의 통신 단말 장치에 대한 DDoS 공격에 따른 유해 트래픽의 패킷은 차단하고 정상적인 패킷은 신규 IP 주소를 통해 전송되므로 고객의 통신 단말 장치가 네트워크 상에서 끊기지 않으면서 효과적으로 DDoS 공격을 차단할 수 있게 된다.In particular, since packets of harmful traffic due to a DDoS attack on a customer's communication terminal device are blocked and normal packets are transmitted through a new IP address, a customer's communication terminal device can effectively block the DDoS attack without being disconnected from the network.

나아가서 DHCP 서버의 IP 주소 풀(Pool)에서 공격 대상 IP 주소를 제외시키도록 제어한 후 공격 대상 IP 주소가 할당된 고객의 통신 단말 장치를 제어하여 IP 주소를 재할당함으로써 고객의 통신 단말 장치에 공격 대상 IP 주소가 다시 할당되는 것을 방지할 수 있다.Further, after controlling to exclude the attack target IP address from the IP address pool of the DHCP server, the control unit controls the communication terminal apparatus of the customer assigned with the attack target IP address to reassign the IP address, It is possible to prevent the destination IP address from being reallocated.

또한 DDoS 공격에 따라 공격 타겟인 고객의 통신 단말 장치에 대하여 DCHP 서버가 실시간 신규 IP 주소를 재할당함으로써, 기존에 DHCP 서버가 일정한 주기로 새로운 동적 IP 주소를 할당함에 따라 DDoS 공격으로 마비된 고객의 통신 단말 장치가 다음번 IP 주소 변경이 이루어지기 전까지는 네트워크 접속이 이루어지지 않는 불편함을 해소할 수 있다.In addition, according to the DDoS attack, the DCHP server reallocates the real-time new IP address to the communication terminal of the customer as the attack target, so that the DHCP server allocates a new dynamic IP address at regular intervals, The inconvenience that the network connection is not made until the terminal device changes the IP address next time can be solved.

한걸은 더 나아가서 고객의 통신 단말 장치에 대한 제어 신호 패킷과 IP 주소 재할당 신호 패킷에 대해서는 고객수용라우터나 L2 스위치 등과 같은 네트워크 기간망 장비에 QoS(Quality of Service) 기능에 따른 우선순위를 설정함으로써 DDoS 공격으로 인해 회선 대역폭이 고갈되는 상황에서도 고객의 통신 단말 장치에 대한 제어와 IP 주소 재할당이 가능해진다.
For a control signal packet and an IP address reassignment signal packet for a customer's communication terminal device, a priority is set according to the QoS (Quality of Service) function for a network backbone network device such as a customer acceptance router or an L2 switch, It is possible to control the communication terminal apparatus of the customer and reallocate the IP address even in a situation where the line bandwidth is depleted due to the attack.

도 1은 분산서비스거부 공격(DDoS: Distributed Denial of Service)의 개념도를 도시하며,
도 2는 싱크홀 라우팅 방식으로 DDoS 공격을 차단하는 개념도를 도시하며,
도 3은 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템의 개념도를 도시하며,
도 4는 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템의 일실시예에 대한 구성도를 도시하며,
도 5는 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템에서 DDoS 탐지 장치의 일실시예에 대한 구성도를 도시하며,
도 6은 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법에 대한 일실시예의 흐름도를 도시한다.1 shows a conceptual diagram of a distributed denial of service (DDoS)
2 is a conceptual diagram for blocking a DDoS attack using a sinkhole routing scheme,
3 is a conceptual diagram of a DDoS attack blocking system through remote control of a communication terminal of a customer according to the present invention,
4 is a block diagram of an embodiment of a DDoS attack blocking system through remote control of a communication terminal of a customer according to the present invention,
5 is a block diagram of an embodiment of a DDoS detection device in a DDoS attack blocking system through remote control of a communication terminal of a customer according to the present invention,
6 is a flowchart illustrating a method of blocking a DDoS attack through remote control of a communication terminal of a customer according to an embodiment of the present invention.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings.

먼저, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니며, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 또한 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.First, the terminology used in the present application is used only to describe a specific embodiment, and is not intended to limit the present invention, and the singular expressions may include plural expressions unless the context clearly indicates otherwise. Also, in this application, the terms "comprise", "having", and the like are intended to specify that there are stated features, integers, steps, operations, elements, parts or combinations thereof, But do not preclude the presence or addition of features, numbers, steps, operations, components, parts, or combinations thereof.

본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

본 발명은 고객의 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격시 고객의 통신 단말 장치의 인터넷 사용 중단이 발생되지 않고 지속적으로 네트워크 상에 접속 가능하면서 DDoS 공격을 차단하기 위한 방안으로서, 이를 위해 공격 대상 IP 주소는 DDoS 공격에 따라 실시간 회수하고 고객의 통신 단말 장치가 신규 IP 주소를 재할당받도록 제어함으로써 공격 대상 IP 주소에 대한 유해 트래픽에 따른 패킷은 차단하면서 정상적인 패킷은 신규 IP 주소로 전송시킬 수 있는 방안을 제시한다.The present invention is a method for blocking a DDoS attack while being able to continuously connect to a network without causing an interruption of Internet use of a customer's communication terminal device in a DDoS attack against a dynamic IP address allocated to a customer's communication terminal device The attacking target IP address is recovered in real time according to the DDoS attack and is controlled so that the customer's communication terminal device is reallocated to the new IP address so that the packet corresponding to the harmful traffic to the attacked IP address is blocked and the normal packet is transmitted to the new IP address And suggest ways to do so.

도 3은 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템의 개념도를 도시한다.3 is a conceptual diagram of a DDoS attack blocking system through remote control of a communication terminal of a customer according to the present invention.

공격자(10)의 공격 명령에 따라 좀비 PC들(15)이 고객의 통신 단말 장치(50)에 할당된 동적 IP 주소를 타켓으로 DDoS 공격을 시도하는 경우에, DDoS 탐지 장치(110)가 이를 탐지하면 고객 단말 원격제어 장치(130)가 공격 타켓이된 고객의 통신 단말 장치(50)를 제어하여 DHCP 서버를 통해 공격 대상 IP 주소를 신규 IP 주소로 재할당받도록 한다. 그리고 고객의 통신 단말 장치(50)가 신규 IP 주소를 재할당받으면 공격 대상 IP 주소에 대한 좀비 PC들(15)로부터 전송되는 유해 트래픽에 따른 패킷은 DDoS 차단 장치(150)가 차단하고 일반 고객(20)의 정상적인 패킷은 재할당받은 신규 IP 주소로 전송됨으로써 고객의 통신 단말 장치(50)가 마비되지 않고 지속적으로 네트워크에 연결될 수 있다.When the DDoS detection device 110 detects a DDoS attack on the target of the dynamic IP address assigned to the communication terminal device 50 of the customer by the zombie PCs 15 according to the attack command of the attacker 10, The customer terminal remote control device 130 controls the customer's communication terminal device 50 that has been an attack target so that the attack destination IP address is reassigned to the new IP address through the DHCP server. When the customer's communication terminal apparatus 50 is reassigned with the new IP address, the packet according to the harmful traffic transmitted from the zombie PCs 15 to the attack target IP address is blocked by the DDoS blocking apparatus 150, 20 are transmitted to the re-allocated new IP address, so that the customer's communication terminal apparatus 50 can be continuously connected to the network without being paralyzed.

본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템의 실시예인 도 4의 구성도를 참조하여 살펴보면, 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템(100)은 DDoS 탐지 장치(110), 고객 단말 원격제어 장치(130) 및 DDoS 차단 장치(150)를 포함하여 구성될 수 있는데, DDoS 탐지 장치(110), 고객 단말 원격제어 장치(130) 및 DDoS 차단 장치(150) 각각은 개별적인 별개의 장치로 구성되어 이격된 장소에 각각 설치될 수도 있고 또는 선택적으로 결합되거나 모두 결합되어 하나의 장치로서 구현될 수도 있다.4, which is an embodiment of a DDoS attack blocking system through remote control of a communication terminal of a customer according to the present invention, a DDoS attack blocking system 100 through a remote control of a communication terminal of a customer according to the present invention includes a DDoS The customer terminal remote control device 130 and the DDoS blocking device 150. The DDoS detecting device 110 is connected to the customer terminal remote control device 130 and the DDoS blocking device 150, May each be configured as discrete discrete devices and may be respectively installed at spaced apart locations or may be selectively combined or combined to form one device.

DDoS 탐지 장치(110)는 네트워크 상의 트래픽을 모니터링하고 유해 트래픽의 발생을 탐지하여 유해 트래픽에 따른 패킷이 집중되는 공격 대상 IP 주소를 확인한다. DDoS 탐지 장치(110)에서의 유해 트래픽 탐지는 이미 공지된 다양한 기술이 적용될 수 있으며 DDoS 공격을 탐지하는 방식은 본 발명의 주된 특징이 아니므로 자세한 설명은 생략하기로 한다.The DDoS detection device 110 monitors traffic on the network and detects the occurrence of harmful traffic to identify an attack target IP address where packets according to harmful traffic are concentrated. Various known techniques can be applied to the detection of the harmful traffic in the DDoS detection device 110, and the method of detecting the DDoS attack is not a main feature of the present invention, so a detailed description will be omitted.

고객 단말 원격제어 장치(130)는 DDoS 탐지 장치(110)로부터 확인된 공격 대상 IP 주소를 전달받고 상기 공격 대상 IP 주소가 할당된 고객의 통신 단말 장치(50)가 신규 IP 주소를 할당받도록 제어한다. 여기서 고객의 통신 단말 장치(50)는 PC, 태블릿, 인터넷이 연결되는 스마트 장치 등 고객의 다양한 단말기를 통신 네트워크에 연결시키기 위해 동적 IP 주소가 할당되는 모뎀, 허브, 공유기 등의 DHCP 프로토콜을 사용하는 다양한 통신 장치를 포함한다.The customer terminal remote control device 130 receives the attack target IP address confirmed from the DDoS detection device 110 and controls the communication terminal device 50 of the customer to which the attack target IP address is assigned to be assigned a new IP address . Here, the customer's communication terminal apparatus 50 uses a DHCP protocol such as a modem, a hub, or a router to which a dynamic IP address is assigned to connect various terminals of a customer to a communication network, such as a PC, a tablet, And various communication devices.

DDoS 차단 장치(150)는 DDoS 공격 타겟인 고객의 통신 단말 장치(50)에 신규 IP 주소가 할당되면 공격 대상 IP 주소로 전송되는 패킷을 차단한다. 이를 위해 DDoS 차단 장치(150)는 블랙홀 라우팅 방식을 적용하여 상기 공격 대상 IP 주소로 전송되는 모든 패킷을 폐기하는 라우터를 포함할 수도 있고 또는 싱크홀 라우팅 방식을 적용하여 상기 공격 대상 IP 주소로 전송되는 패킷을 우회시키는 싱크홀을 포함할 수도 있다.The DDoS blocking device 150 blocks packets transmitted to the attack target IP address when a new IP address is assigned to the communication terminal device 50 of the DDoS attack target customer. To this end, the DDoS blocking device 150 may include a router for discarding all packets transmitted to the attacking target IP address by applying a black hole routing scheme, or may be transmitted to the attacking target IP address by applying a sinkhole routing scheme And may include a sink hole for bypassing the packet.

나아가서 DDoS 탐지 장치(110)는 유해 트래픽에 따른 공격 대상 IP 주소를 확인하면, 확인된 공격 대상 IP 주소를 고객 단말 원격제어 장치(130), DDoS 차단 장치(150) 및 DHCP 서버(200) 등에 전송하여 원활한 DDoS 차단이 이루어지도록 하는데, 이와 관련하여 도 5는 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템의 일실시예에 대한 구성도를 도시하며, 상기 도 4를 통해 DDoS 탐지 장치(110)에 대하여 좀더 살펴보기로 한다.Further, when the DDoS detection device 110 confirms the attack target IP address corresponding to the harmful traffic, it transmits the confirmed attack target IP address to the client terminal remote control device 130, the DDoS blocking device 150, and the DHCP server 200 FIG. 5 is a block diagram of an embodiment of a DDoS attack blocking system through remote control of a communication terminal of a customer according to the present invention. Referring to FIG. 4, The device 110 will now be described in more detail.

DDoS 탐지 장치(110)는 DDoS 탐지부(111), DHCP 연동부(113) 및 공격 차단 제어부(115)를 포함하여 구성될 수 있다.The DDoS detecting device 110 may include a DDoS detecting unit 111, a DHCP interlocking unit 113, and an attack blocking control unit 115.

DDoS 탐지부(111)는 네트워크 상의 트래픽을 모니터링하고 유해 트래픽의 발생을 탐지하여 유해 트래픽에 따른 패킷이 집중되는 공격 대상 IP 주소를 확인하여 확인된 공격 대상 IP 주소를 고객 단말 원격제어 장치(130)로 제공한다.The DDoS detecting unit 111 monitors traffic on the network, detects the occurrence of harmful traffic, checks an attack target IP address in which packets according to the harmful traffic are concentrated, and transmits the detected attack target IP address to the customer terminal remote controller 130, .

DHCP 연동부(113)는 DHCP 서버(200)와 연동하여 DHCP 서버(200)의 IP 주소 풀(Pool)에서 공격 대상 IP 주소를 제외시키도록 하는데, DHCP 서버(200)의 IP 주소 풀에서 공격 대상 IP 주소를 제외시킴으로써 공격 대상 IP 주소가 다시 고객의 통신 단말 장치(50)로 할당되는 것을 방지할 수 있다. 또한 DHCP 연동부(113)는 DHCP 서버(200)로부터 고객의 통신 단말 장치(50)에 신규 IP 주소가 재할당되었음을 확인한다.The DHCP interlocking unit 113 interlocks with the DHCP server 200 to exclude the attack target IP address from the IP address pool of the DHCP server 200. The DHCP interceptor 113 extracts the attack target IP address from the IP address pool of the DHCP server 200, By excluding the IP address, it is possible to prevent the attack target IP address from being allocated again to the communication terminal 50 of the customer. In addition, the DHCP interworking unit 113 confirms that the new IP address is reassigned from the DHCP server 200 to the communication terminal 50 of the customer.

그리고 DHCP 연동부(113)가 DHCP 서버(200)로부터 고객의 통신 단말 장치(50)에 신규 IP 주소가 재할당되었음을 확인하면, 공격 차단 제어부(115)는 DDoS 차단 장치(150)에 공격 대상 IP 주소를 전송하여 공격 대상 IP 주소로 전송되는 패킷을 차단한다.
When the DHCP interlocking unit 113 confirms that the new IP address has been reassigned to the customer's communication terminal apparatus 50 from the DHCP server 200, the attack blocking control unit 115 instructs the DDoS blocking apparatus 150 to transmit the attack target IP Address, and blocks packets transmitted to the attacking target IP address.

이와 같은 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템을 이용하여 본 발명에서는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법을 제시하는데, 이하에서는 도 6에 도시된 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법에 대한 일실시예의 흐름도를 참고하여 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법에 대하여 살펴보기로 한다.The present invention proposes a method for blocking a DDoS attack through remote control of a communication terminal using a DDoS attack blocking system through remote control of a communication terminal of a customer according to the present invention. A DDoS attack blocking method by remote control of a communication terminal of a customer according to the present invention will be described with reference to a flowchart of an embodiment of a DDoS attack blocking method by remote control of a communication terminal of a customer according to the present invention.

DDoS 탐지 장치(110)는 네트워크 상의 트래픽을 모니터링하고 유해 트래픽 발생에 따른 DDoS 공격을 탐지(S10)하는데, 앞서 설명한 바와 같이 DDoS 탐지 장치(110)에서의 유해 트래픽 탐지는 이미 공지된 다양한 기술이 적용될 수 있다. 그리고 특정 IP 주소에 대한 DDoS 공격이 탐지되면 공격 대상 IP 주소를 확인(S30)하여 공격 대상 IP 주소가 할당된 고객의 통신 단말 장치(50)를 제어하여 신규 IP 주소를 재할당받을 수 있도록 공격 대상 IP 주소를 고객 단말 원격제어 장치(130)에 제공한다. The DDoS detection apparatus 110 monitors traffic on the network and detects a DDoS attack according to the occurrence of harmful traffic (S10). As described above, the known techniques of detecting the harmful traffic in the DDoS detection apparatus 110 are applied . If a DDoS attack is detected for a specific IP address, the attack target IP address is checked (S30) to control the communication terminal apparatus 50 of the customer to which the attack destination IP address is assigned, And provides the IP address to the customer terminal remote control device 130.

이때, 고객의 통신 단말 장치(50)가 DHCP 서버(200)로 IP 주소의 재할당을 요청하는 경우에 DHCP 서버(200)가 공격 대상 IP 주소를 다시 고객의 통신 단말 장치(50)에 할당하는 경우가 발생되므로 본 발명에서는 고객의 통신 단말 장치(50)에 다시 공격 대상 IP 주소가 재할당되는 경우를 방지하는데, 이를 살펴보면 상기 도 6의 실시예에 도시된 바와 같이 고객의 통신 단말 장치(50)가 IP 주소를 재할당받기에 앞서 DDoS 탐지 장치(110)는 DHCP 서버(200)에 IP 주소 풀 처리를 위한 제어 신호를 전송한다. IP 주소 풀 처리를 위한 제어신호에는 공격 대상 IP 주소가 포함되며, 이에 따라 DHCP 서버(200)는 IP 주소 풀 상에서 공격 대상 IP 주소를 제외(S70)시키고 IP 주소 풀에 대한 처리가 완료되었음을 DDoS 탐지 장치(110)에 알린다.(S90) 이와 같은 과정을 통해 공격 대상 IP 주소가 다시 고객의 통신 단말 장치(50)에 할당되는 것을 방지할 수 있으며, DHCP 서버(200)에서 공격 대상 IP 주소를 제외시켜도 고객의 통신 단말 장치(50)는 신규 IP 주소를 재할당받기 전까지는 공격 대상 IP 주소로 네트워크 접속이 유지된다.At this time, when the customer's communication terminal apparatus 50 requests the DHCP server 200 to relocate the IP address, the DHCP server 200 allocates the attack target IP address to the communication terminal apparatus 50 of the customer again The IP address of the attacking target is not re-assigned to the communication terminal 50 of the customer. In this case, as shown in the embodiment of FIG. 6, The DDoS detection device 110 transmits a control signal for IP address pool processing to the DHCP server 200 before the IP address is reallocated. The control signal for IP address pool processing includes an attack target IP address, and accordingly, the DHCP server 200 excludes the attack target IP address from the IP address pool (S70) and notifies the completion of the processing for the IP address pool It is possible to prevent the attack destination IP address from being assigned to the communication terminal apparatus 50 of the customer again through the above process and to prevent the attack destination IP address from being excluded from the DHCP server 200 The network connection is maintained to the attack target IP address until the customer's communication terminal apparatus 50 receives the new IP address again.

DHCP 서버(200)로부터 IP 주소 풀 처리가 완료되면 DDoS 탐지 장치(110)는 고객 단말 원격제어 장치(130)로 고객의 통신 단말 장치(50)에 대한 신규 IP 주소의 재할당을 제어하도록 IP 주소 재할당 제어 신호를 전송(S110)하며, 상기 IP 주소 재할당 제어 신호에는 공격 대상 IP 주소가 포함된다. When the IP address pool process is completed from the DHCP server 200, the DDoS detection device 110 transmits an IP address (IP address) to the customer terminal remote control device 130 to control reallocation of a new IP address to the customer's communication terminal device 50 (S110), and the IP address reassignment control signal includes an attack target IP address.

DDoS 탐지 장치(110)로부터 고객의 통신 단말 장치(50)에 대한 IP 주소 재할당 제어 신호를 전송받은 고객 단말 원격제어 장치(130)는 공격 대상 IP 주소가 할당된 고객의 통신 단말 장치(50)가 신규 IP 주소를 재할당받도록 고객 통신 단말 제어 신호를 생성(S120)하여 이를 공격 대상 IP 주소가 할당된 고객의 통신 단말 장치(50)로 전송(S130)한다. 여기서 상기 고객 통신 단말 제어 신호에는 고객의 통신 단말 장치(50)를 재부팅시키는 제어 명령이 포함된다.The customer terminal remote control device 130 receiving the IP address reassignment control signal from the DDoS detection device 110 for the customer's communication terminal device 50 receives the IP address reassignment control signal from the communication terminal device 50 (S120) a customer communication terminal control signal so that the new IP address is reassigned to the communication terminal apparatus 50 of the customer to which the attack object IP address is assigned (S130). The customer communication terminal control signal includes a control command for rebooting the communication terminal 50 of the customer.

고객 단말 원격제어 장치(130)의 고객 통신 단말 제어 신호에 따라 고객의 통신 단말 장치(50)가 재부팅(S140)되며, 재부팅에 따라 고객의 통신 단말 장치(50)는 DHCP 서버(200)로 IP 주소의 재할당을 요청(S150)하고, 이에 따라 DHCP 서버(200)는 고객의 통신 단말 장치(50)에 신규 IP 주소 할당정보를 포함하는 DHCP ACK 패킷을 전송하여 신규 IP 주소를 재할당(S160)한다. 이때 DHCP 서버(200)는 사전에 IP 주소 풀 상에서 공격 대상 IP 주소를 제외시켰으므로 이와 다른 신규 IP 주소를 할당하게 된다. DHCP 서버(200)로부터 신규 IP 주소 할당정보를 포함하는 DHCP ACK 패킷을 전송받은 고객의 통신 단말 장치(50)는 새롭게 할당받은 신규 IP 주소로 IP 주소를 변경한다.The customer's communication terminal apparatus 50 is rebooted (S140) according to the customer communication terminal control signal of the customer terminal remote control device 130. Upon the rebooting, the customer's communication terminal apparatus 50 transmits the IP The DHCP server 200 transmits a DHCP ACK packet including the new IP address assignment information to the communication terminal apparatus 50 of the customer and reallocates the new IP address (S160) )do. At this time, since the DHCP server 200 previously excluded the attack target IP address from the IP address pool, the DHCP server 200 allocates a new IP address different from the attack destination IP address. The communication terminal apparatus 50 of the customer who receives the DHCP ACK packet including the new IP address assignment information from the DHCP server 200 changes the IP address to the newly assigned new IP address.

여기서 바람직하게는 DDoS 공격을 받는 상황에서는 공격 대상 IP 주소가 할당된 고객의 통신 단말 장치를 수용하는 상위 회선의 대역폭이 고갈됨으로써, 고객의 통신 단말 장치와 DDoS 탐지 장치(110) 및 DHCP 서버(200) 간의 패킷 전송이 이루어지지 않을 수 있다. 따라서 본 발명에서는 고객 단말 원격제어 장치(130)로부터 고객의 통신 단말 장치(50)로 전송되는 IP 주소 재할당 제어 신호 패킷과 고객의 통신 단말 장치(50)와 DHCP 서버(200) 간에 IP 주소 재할당 패킷에는 고객수용라우터(미도시)나 L2 스위치(미도시) 등과 같은 네트워크 기간망 장비에 QoS(Quality of Service) 기능에 따른 우선순위를 설정함으로써 DDoS 공격 중에도 고객의 통신 단말 장치(50)에 대한 제어와 IP 주소 재할당이 가능하도록 한다.Preferably, in a situation of receiving a DDoS attack, the bandwidth of the upper line accommodating the communication terminal of the customer to which the IP address of the attack destination is allocated is depleted, so that the communication terminal of the customer, the DDoS detecting device 110 and the DHCP server 200 ) May not be transmitted. Therefore, in the present invention, an IP address reallocation control signal packet transmitted from the customer terminal remote control device 130 to the customer's communication terminal apparatus 50, an IP address re-allocation control signal packet transmitted from the customer's communication terminal apparatus 50 to the DHCP server 200, In the allocation packet, a priority according to QoS (Quality of Service) function is set for a network backbone network device such as a customer acceptance router (not shown) or an L2 switch (not shown) Control and IP address reallocation.

고객의 통신 단말 장치(50)에 신규 IP 주소의 재할당이 완료되면, DHCP 서버(200)는 DDoS 탐지 장치(110)로 고객의 통신 단말 장치(50)에 대한 신규 IP 주소 재활당 완료 신호를 전송(S170)한다.When the reassignment of the new IP address to the customer's communication terminal apparatus 50 is completed, the DHCP server 200 transmits a completion signal of the new IP address rehoming to the customer's communication terminal apparatus 50 to the DDoS detecting apparatus 110 (S170).

DDoS 탐지 장치(110)는 고객의 통신 단말 장치(50)에 대한 신규 IP 주소의 재활당이 완료되었음을 확인하고 DDoS 차단 장치(150)로 공격 대상 IP 주소를 포함하는 공격 차단 제어 신호를 전송(S210)를 전송하며, 상기 공격 차단 제어 신호를 기초로 DDoS 차단 장치(150)는 공격 대상 IP 주소로 전송되는 패킷을 차단(S230)한다. 여기서 DDoS 차단 장치(150)는 블랙홀 라우팅 방식을 적용하여 상기 공격 대상 IP 주소로 전송되는 모든 패킷을 폐기할 수도 있으며, 또는 싱크홀 라우팅 방식을 적용하여 상기 공격 대상 IP 주소로 전송되는 패킷을 싱크홀로 우회시킬 수도 있다.
The DDoS detection device 110 confirms that the re-transmission of the new IP address to the communication terminal 50 of the customer has been completed and sends an attack blocking control signal including the attack target IP address to the DDoS blocking device 150 (S210 , And the DDoS blocking device 150 blocks the packet transmitted to the attack target IP address based on the attack blocking control signal (S230). In this case, the DDoS blocking device 150 may discard all packets transmitted to the attack target IP address by applying the black hole routing method, or may apply a sinkhole routing method to the packets to be transmitted to the attack destination IP address, It may be bypassed.

이상에서 살펴본 본 발명에 따른 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법 및 이를 위한 DDoS 공격 차단 시스템을 통해 고객의 통신 단말 장치로 할당된 동적 IP 주소에 대한 DDoS 공격 탐지시에 공격 대상 IP 주소를 실시간 회수하고 상기 통신 단말 장치를 제어하여 신규 IP 주소를 재할당함으로써 상기 통신 단말 장치에 대한 인터넷 통신의 연결이 끊김 없이 유지되면서 DDoS 공격에 따른 패킷 전송을 차단하여 ISP(Internet Service Provider) 네트워크의 피해를 방지할 수 있다.
In the DDoS attack prevention method for the dynamic IP address allocated to the communication terminal of the customer through the DDoS attack blocking method and the DDoS attack blocking method by the remote control of the communication terminal according to the present invention, And controls the communication terminal apparatus to reassign a new IP address so that the connection of the Internet communication to the communication terminal apparatus is maintained without interruption and the packet transmission due to the DDoS attack is blocked so that the Internet service provider Damage can be prevented.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
The foregoing description is merely illustrative of the technical idea of the present invention, and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments of the present invention are not intended to limit the scope of the present invention but to limit the scope of the present invention. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents thereof should be construed as being included in the scope of the present invention.

100 : 고객의 통신 단말 원격 제어를 통한 DDoS 공격 시스템,
110 : DDoS 탐지 장치,
111 : DDoS 탐지부, 113 : DHCP 연동부,
115 : 공격 차단부,
130 : 고객 단말 원격제어 장치,
150 : DDoS 차단 장치,
200 : DHCP 서버.100: DDoS attack system through remote control of customer's communication terminal,
110: DDoS detection device,
111: DDoS detection unit, 113: DHCP interworking unit,
115: attack blocking part,
130: Customer terminal remote control device,
150: DDoS blocking device,
200: DHCP server.

Claims (9)

통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격을 DDoS 탐지 장치가 탐지시, 고객 단말 원격제어 장치가 공격 대상 IP 주소가 할당된 통신 단말 장치에 신규 IP 주소를 재할당 받도록 제어하는 IP 재할당 제어 단계;
상기 DDoS 탐지 장치가 상기 통신 단말 장치로부터의 IP 재할당 요청에 따른 DHCP 서버의 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당을 확인하는 IP 재할당 확인 단계; 및
상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 DDoS 차단 장치가 상기 공격 대상 IP 주소로 전송되는 패킷을 차단하는 공격 대상 IP 차단 단계를 포함하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법.When the DDoS detection device detects a DDoS attack on the dynamic IP address assigned to the communication terminal device, the IP address reassignment control section controls the remote control device of the customer terminal to receive a new IP address from the communication terminal device to which the attack destination IP address is assigned A control step;
An IP reassignment checking step of confirming reassignment of the new IP address of the DHCP server to the communication terminal device in response to the IP reassignment request from the communication terminal device by the DDoS detecting device; And
And an attack target IP blocking step of blocking a packet transmitted to the attack target IP address by the DDoS blocking device in accordance with the reallocation of the new IP address to the communication terminal apparatus. How to block DDoS attacks. 제 1 항에 있어서,
상기 IP 재할당 제어 단계는,
상기 DDoS 탐지 장치가 DDoS 공격 탐지에 따른 공격 대상 IP 주소를 확인하는 단계;
상기 DDoS 탐지 장치가 상기 DHCP 서버의 IP 주소 풀(Pool)에서 상기 공격 대상 IP 주소를 제외시키도록 제어하고 이를 확인하는 단계; 및
상기 고객 단말 원격 제어장치가 상기 통신 단말 장치에 대하여 재부팅하도록 고객 통신 단말 제어 신호를 생성하여 전송하는 단계를 포함하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법.The method according to claim 1,
Wherein the IP reallocation control step comprises:
Confirming an attack target IP address according to the DDoS attack detection by the DDoS detecting device;
Controlling the DDoS detection device to exclude the attacking target IP address from an IP address pool of the DHCP server and confirming the same; And
And generating and transmitting a customer communication terminal control signal so that the customer terminal remote control device reboots to the communication terminal device, and transmitting the control signal to the customer terminal remote control device. 제 1 항에 있어서,
상기 IP 재할당 확인 단계는,
상기 통신 단말 장치가 리부팅되고 IP 주소의 재할당을 상기 DHCP 서버에 요청하여 신규 IP 주소가 재할당되는 단계; 및
상기 DDoS 탐지 장치가 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당을 상기 DHCP 서버를 통해 확인하는 단계를 포함하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법.The method according to claim 1,
Wherein the IP reallocation checking step comprises:
The communication terminal apparatus is rebooted, requesting the DHCP server to reassign an IP address, and reallocating a new IP address; And
And the DDoS detection device checking the reallocation of a new IP address for the communication terminal device through the DHCP server. 제 1 항에 있어서,
상기 공격 대상 IP 차단 단계는,
상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 상기 DDoS 탐지 장치가 상기 공격 대상 IP 주소를 상기 DDoS 차단 장치로 전송하는 단계; 및
상기 DDoS 차단 장치가 상기 공격 대상 IP 주소로 전송되는 패킷을 차단하는 단계를 포함하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법.The method according to claim 1,
Wherein the attack target IP blocking step comprises:
Transmitting, by the DDoS detection device, the attack target IP address to the DDoS blocking device according to reallocation of a new IP address to the communication terminal device; And
And blocking the packet transmitted to the attacking target IP address by the DDoS blocking device. 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격의 탐지에 따라 DDoS 탐지 장치로부터 DHCP 서버가 공격 대상 IP 주소를 전달받는 단계;
상기 DHCP 서버가 IP 주소 풀(Pool)에서 공격 대상 IP 주소를 제외시키는 단계;
상기 DHCP 서버가 상기 통신 단말 장치로부터 신규 IP 주소의 재할당을 요청받는 단계; 및
상기 DHCP 서버가 상기 통신 단말 장치로 신규 IP 주소를 재할당하고 상기 통신 단말 장치에 대한 신규 IP 주소 재할당 완료 신호를 상기 DDoS 탐지 장치로 전송하는 단계를 포함하는 것을 특징으로 하는 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법.Receiving, by the DHCP server, an attack target IP address from a DDoS detecting device according to detection of a DDoS attack on a dynamic IP address assigned to the communication terminal device;
The DHCP server excluding an attack target IP address from an IP address pool;
Receiving a reallocation of a new IP address from the communication terminal device by the DHCP server; And
And the DHCP server reallocates a new IP address to the communication terminal apparatus and transmits a new IP address reallocation completion signal to the communication terminal apparatus to the DDoS detection apparatus. How to block DDoS attacks through. 통신 단말 장치의 할당된 동적 IP 주소에 대한 DDoS 공격 탐지에 따라, 상기 통신 단말 장치가 고객 단말 원격 제어장치로부터 IP 주소 재할당에 대한 고객 통신 단말 제어 신호를 전송받는 단계;
상기 통신 단말 장치가 상기 고객 통신 단말 제어 신호를 기초로 재부팅을 수행하고 DHCP 서버로 신규 IP 주소의 재할당을 요청하는 단계; 및
상기 통신 단말 장치가 상기 DHCP 서버로부터 신규 IP 주소를 할당받고, 상기 신규 IP 주소를 통해 연결되는 단계를 포함하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 방법.Receiving, by the communication terminal device, a customer communication terminal control signal for IP address reallocation from the customer terminal remote control device in accordance with the DDoS attack detection for the assigned dynamic IP address of the communication terminal device;
The communication terminal device performs a reboot based on the customer communication terminal control signal and requests reallocation of a new IP address to a DHCP server; And
Wherein the communication terminal apparatus is allocated a new IP address from the DHCP server and is connected through the new IP address. 통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격 탐지시, 공격 대상 IP 주소가 할당된 통신 단말 장치를 제어하여 신규 IP 주소를 재할당 받도록 하고, 상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 상기 공격 대상 IP 주소로 전송되는 패킷을 차단하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템.When a DDoS attack on a dynamic IP address assigned to a communication terminal apparatus is detected, a communication terminal apparatus to which an attack target IP address is assigned is controlled to receive a new IP address, and a new IP address is reassigned to the communication terminal apparatus And blocks the packet transmitted to the attacking target IP address according to the control message. 제 7 항에 있어서,
통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격을 탐지하는 DDoS 탐지 장치;
DDoS 공격 탐지에 따라 공격 대상 IP 주소가 할당된 통신 단말 장치가 DHCP 서버로부터 신규 IP 주소를 재할당받도록 제어하는 고객 단말 원격 제어 장치; 및
상기 통신 단말 장치에 대한 신규 IP 주소 재할당에 따라 상기 공객 대상 IP 주소로 전송되는 패킷을 차단하는 DDoS 차단 장치를 포함하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템.8. The method of claim 7,
A DDoS detection device for detecting a DDoS attack on a dynamic IP address assigned to a communication terminal device;
A client terminal remote control device for controlling the communication terminal device to which the attacking target IP address is assigned to receive the new IP address from the DHCP server according to the DDoS attack detection; And
And a DDoS blocking device for blocking a packet transmitted to the IP destination address according to the new IP address reassignment to the communication terminal device. 제 8 항에 있어서,
상기 DDoS 탐지 장치는,
통신 단말 장치에 할당된 동적 IP 주소에 대한 DDoS 공격을 탐지하고, 공격 대상 IP 주소를 확인하여 상기 고객 단말 원격 제어 장치에 제공하는 DDoS 탐지부;
DHCP 서버와 연동하여 상기 DHCP 서버의 IP 주소 풀(Pool)에서 공격 대상 IP 주소를 제외시키고, 상기 통신 단말 장치에 대한 상기 DHCP 서버의 신규 IP 주소의 재할당을 확인하는 DHCP 연동부; 및
상기 통신 단말 장치에 대한 신규 IP 주소의 재할당에 따라 상기 공격 대상 IP 주소를 상기 DDoS 차단 장치로 전송하는 공격 차단 제어부를 포함하는 것을 특징으로 하는 고객의 통신 단말 원격 제어를 통한 DDoS 공격 차단 시스템.9. The method of claim 8,
The DDoS detection apparatus includes:
A DDoS detection unit for detecting a DDoS attack on a dynamic IP address assigned to a communication terminal apparatus, identifying an attack target IP address, and providing the DDoS attack to the client terminal remote control apparatus;
A DHCP interworking unit interlocking with a DHCP server to exclude an attack target IP address from an IP address pool of the DHCP server and confirm reassignment of a new IP address of the DHCP server to the communication terminal apparatus; And
And an attack blocking controller for transmitting the attacking target IP address to the DDoS blocking device according to reallocation of a new IP address to the communication terminal device.
KR1020140058969A 2014-05-16 2014-05-16 Method and system for protecting DDoS attack KR102193588B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140058969A KR102193588B1 (en) 2014-05-16 2014-05-16 Method and system for protecting DDoS attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140058969A KR102193588B1 (en) 2014-05-16 2014-05-16 Method and system for protecting DDoS attack

Publications (2)

Publication Number Publication Date
KR20150132746A true KR20150132746A (en) 2015-11-26
KR102193588B1 KR102193588B1 (en) 2020-12-23

Family

ID=54847327

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140058969A KR102193588B1 (en) 2014-05-16 2014-05-16 Method and system for protecting DDoS attack

Country Status (1)

Country Link
KR (1) KR102193588B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3817318A1 (en) * 2019-11-01 2021-05-05 British Telecommunications public limited company Network operation

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110026926A (en) * 2009-09-09 2011-03-16 (주)제이투씨엔에스 (method for blocking distributed denial of service
JP2011129968A (en) * 2009-12-15 2011-06-30 Panasonic Corp Communication terminal device
KR20130116456A (en) * 2012-03-28 2013-10-24 에스케이브로드밴드주식회사 Distributed denial of service attack protection system and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110026926A (en) * 2009-09-09 2011-03-16 (주)제이투씨엔에스 (method for blocking distributed denial of service
JP2011129968A (en) * 2009-12-15 2011-06-30 Panasonic Corp Communication terminal device
KR20130116456A (en) * 2012-03-28 2013-10-24 에스케이브로드밴드주식회사 Distributed denial of service attack protection system and method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3817318A1 (en) * 2019-11-01 2021-05-05 British Telecommunications public limited company Network operation

Also Published As

Publication number Publication date
KR102193588B1 (en) 2020-12-23

Similar Documents

Publication Publication Date Title
US10911368B2 (en) Gateway address spoofing for alternate network utilization
US10298601B2 (en) Embedding information or information identifier in an IPv6 address
JP5579820B2 (en) System and method for distributed multiprocessing security gateways
TWI727059B (en) Method and device for processing network traffic
US9936059B2 (en) Management of wireless access points via virtualization
US10915374B2 (en) Method of facilitating live migration of virtual machines
WO2017041656A1 (en) Traffic processing method, device and system
US10686832B2 (en) Dynamic allocation of a signal receiver for dissemination of threat information
US20110179486A1 (en) Method for neutralizing the arp spoofing attack by using counterfeit mac addresses
CN109617912B (en) Device for preventing DDoS attack by adopting intelligent switching of multiple domain names
CN105979202B (en) Data transmission method and device
CN106453690A (en) IP address allocation method and apparatus
JP2008271242A (en) Network monitor, program for monitoring network, and network monitor system
KR101710385B1 (en) Method, apparatus and computer program for managing arp packet
WO2014036885A1 (en) Method, device and system for implementing address sharing
JP2011129968A (en) Communication terminal device
CN113014680B (en) Broadband access method, device, equipment and storage medium
CN107342972B (en) Method and device for realizing remote access
KR20150132746A (en) Method and system for protecting DDoS attack
JP2011120083A (en) Method of path switching in multi-home connection environment, router, and program
CN108551496B (en) Solution method for preventing conflict between vpn client address and local address
Chatterjee Design and development of a framework to mitigate dos/ddos attacks using iptables firewall
JP6622736B2 (en) Communication system and communication control method
KR101358794B1 (en) Distributed denial of service attack protection system and method
KR102059367B1 (en) Disaster broadcasting system based on virtualization

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant