KR20160112661A - Method and apparatus for protecting network from distributed denial of service attack - Google Patents
Method and apparatus for protecting network from distributed denial of service attack Download PDFInfo
- Publication number
- KR20160112661A KR20160112661A KR1020150038789A KR20150038789A KR20160112661A KR 20160112661 A KR20160112661 A KR 20160112661A KR 1020150038789 A KR1020150038789 A KR 1020150038789A KR 20150038789 A KR20150038789 A KR 20150038789A KR 20160112661 A KR20160112661 A KR 20160112661A
- Authority
- KR
- South Korea
- Prior art keywords
- traffic pattern
- packet
- client terminal
- pattern information
- network
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 네트워크상에서의 분산 서비스 거부 공격 방어에 관한 것으로서, 상세하게, 클라이언트 단말과의 연동을 통해 적응적으로 분산 서비스 거부 공격을 방어하는 것이 가능한 네트워크 분산 서비스 거부 공격 방어 방법 및 그를 위한 장치에 관한 것이다.The present invention relates to a defense against distributed denial of service attacks on a network, and more particularly to a network distributed denial of service attack defense method capable of adaptively preventing a distributed denial of service attack through interworking with a client terminal, and an apparatus therefor will be.
일반적으로, 분산 서비스 거부(DDoS: Dristributed Denial of Service) 공격은 네트워크에 연결된 복수의 컴퓨터를 동시에 동작시켜 특정 서버에 과도한 부하를 유발시킴으로써, 해당 서버의 정상 동작을 방해하거나 해당 서버를 다운시키는 공격을 말한다. In general, a distributed denial of service (DDoS) attack causes an attack that interferes with the normal operation of the server or causes the server to shut down by causing multiple computers connected to the network to operate simultaneously, It says.
특정 서버나 웹사이트를 공격하기 위해, 해커는 DDoS 공격을 위한 프로그램을 복수의 컴퓨터에 설치한 후, 해당 컴퓨터의 프로그램이 공격 대상 서버 또는 웹사이트에서 처리될 수 없는 엄청난 분량의 패킷을 동시에 생성하여 해당 공격 대상 서버에 전송하도록 제어한다. 결과적으로, DDoS 공격은 공격 대상 서버에서의 과도한 패킷 수신을 유발함으로써, 과부하를 발생시킨다.To attack a specific server or web site, a hacker can install a program for DDoS attacks on multiple computers, and then the program on that computer simultaneously creates a huge amount of packets that can not be processed by the attacked server or website To the attack target server. As a result, a DDoS attack causes excessive packet reception at the attack target server, thereby causing an overload.
일 예로, DDoS 공격을 받은 웹사이트는 정상적인 접속이 불가능해지며, 심한 경우 네트워크 장비나 서버의 하드웨어가 손상될 수도 있다.For example, a DDoS-attacked web site can not be accessed normally, and in severe cases, the hardware of a network device or a server may be damaged.
또한, 어떤 경로로든지 DDoS 공격 도구가 설치된 컴퓨터 시스템들은 자신도 모르는 사이에 DDoS 공격 시스템으로 이용될 수 있다. 이러한 DDoS 공격도구 중 널리 알려진 것으로는 과거에는 트리누(Trinoo), 트리벌 플러 네트워크(TFN;Tribal Flood Network), 슈타첼드라트(Stacheldraht) 등이 있으며, 최근에는 봇넷을 구성하는 넷봇(NetBot), 블랙에너지(BlackEnergy) 등이 있다. In addition, computer systems with DDoS attack tools installed on any path can be used as a DDoS attack system without their knowledge. One of the most widely known DDoS attack tools in the past is Trinoo, Tribal Flood Network (TFN), and Stacheldraht. In recent years, NetBot, a botnet, , And Black Energy (BlackEnergy).
DDoS 공격 도구는 웜(worm), 바이러스(virus) 등의 형태로 다양한 경로를 통해 일반인들의 컴퓨터 시스템에 침입한다.The DDoS attack tool penetrates the computer system of the general public through various paths such as worms and viruses.
종래의 DDoS 공격 탐지 및 차단 기술은 DDoS 고유의 공격 패턴을 탐지하여 차단하거나, 네트워크 또는 서버 단에서의 트래픽을 제한하여 서버 및 네트워크 장비를 보호하는 방법이 사용되었다. 여기서 고유의 공격 패턴이란 서버에 부하를 주기 위하여 DDoS마다 특정한 형태로 변조된 패킷(packet)을 과다하게 발생시키는 것을 말하며, 대표적인 것으로는TCP SYN Flood, TCP Flag Flood, HTTP Flood, UDP Flood, ICMP Flood 등이 있다.Conventional DDoS attack detection and blocking technologies have been used to detect and block DDoS-specific attack patterns or to protect servers and network equipment by limiting traffic at the network or server side. In this paper, we propose a new attack pattern, which is to generate a modulated packet in a specific form for each DDoS to load the server. Typical examples are TCP SYN Flood, TCP Flag Flood, HTTP Flood, UDP Flood, ICMP Flood .
종래 대부분의 DDoS 공격 탐지 기술은 네트워크상의 트래픽이 평상시 정상 상황일 때 보다 갑자기 늘어나는 경우, 이를 DDoS 공격으로 판단하는 방법이다. 즉, 종래의 공격 여부 판단 기준은 단순히 과거에 비해 얼마나 많은 트래픽이 갑자기 증가하였는가를 비교한다.Most conventional DDoS attack detection technology is a method of judging DDoS attack when the traffic on the network suddenly increases suddenly in a normal situation. In other words, the conventional attack criterion simply compares how much traffic has suddenly increased compared to the past.
이러한 형태의 공격 탐지 방안은 응용계층의 DDoS 공격을 탐지하는 데는 매우 부적합하다. 왜냐하면, 최근 발생하고 있는 응용계층에 대한 DDoS 공격은 그 트래픽의 양이 정상 범위를 벗어날 만큼 많지 않아, 트래픽의 양만으로 공격을 탐지하는 것이 매우 어렵기 때문이다. This type of attack detection scheme is very inadequate to detect DDoS attacks in the application layer. The reason for this is that it is very difficult to detect attacks based on the amount of traffic, because the recent amount of DDoS attacks on the application layer is not large enough to exceed the normal range of traffic.
특히, 클라이언트 단말 별 제공되는 서비스의 타입이 다양할 뿐만 아니라 서비스 타입 별 송/수신되는 패킷 형태 및 크기가 상이할 수 있다. 또한, 시간대 별 서버에서 제공하는 서비스 타입이 상이할 수도 있다.Particularly, not only are the types of services provided for each client terminal vary, but packet types and sizes to be transmitted / received for each service type may be different. In addition, the service type provided by the time zone server may be different.
따라서, 종래에는 클라이언트 단말 단위로 DDoS 공격을 감지하고 차단 방법이 제공되지 않았다.Accordingly, in the related art, a DDoS attack is not detected and a blocking method is not provided for each client terminal.
본 발명은 상술한 종래 기술의 문제점을 해결하기 위해 고안된 것으로, 본 발명의 목적은 네트워크 분산 서비스 거부 공격 방어 방법 및 장치를 제공하는 것이다.SUMMARY OF THE INVENTION It is an object of the present invention to provide a network distributed denial of service attack prevention method and apparatus.
본 발명의 다른 목적은 네트워크 관리 서버에서 클라이언트 단말로부터 실시간 트래픽 패턴 정보를 수신하여 적응적으로 네트워크 장비를 제어함으로써 분산 서비스 거부 공격을 방어하는 것이 가능한 네트워크 분산 서비스 거부 공격 방어 방법을 제공하는 것이다.It is another object of the present invention to provide a network distributed denial of service attack defense method capable of protecting a distributed denial of service attack by receiving real-time traffic pattern information from a client terminal in a network management server and controlling the network equipment adaptively.
본 발명의 또 다른 목적은 DDoS 공격 감지 시 적응적으로 트래픽 패턴을 변경함으로써, 적응적으로 분산 서비스 거부 공격에 대응하는 것이 가능한 네트워크 분산 서비스 거부 공격 방어 방법 및 그를 위한 장치를 제공하는 것이다. Yet another object of the present invention is to provide a network distributed denial of service attack defense method and an apparatus therefor, which adaptively adapt to a distributed denial of service attack by adaptively changing a traffic pattern when a DDoS attack is detected.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.It is to be understood that both the foregoing general description and the following detailed description are exemplary and explanatory and are not restrictive of the invention, unless further departing from the spirit and scope of the invention as defined by the appended claims. It will be possible.
본 발명은 네트워크 분산 서비스 거부 공격 방어 방법 및 그를 위한 장치들을 제공한다.The present invention provides a network distributed denial of service attack defense method and apparatus therefor.
본 발명의 일 실시예에 따른 네트워크 관리 서버에서의 분산 서비스 거부 공격 방어 방법은 클라이언트 단말로부터 트래픽 패턴 정보를 수신하는 단계와 상기 트래픽 패턴 정보에 기반하여 패킷 제어 규칙을 생성하는 단계와 상기 클라이언트 단말에 상응하는 네트워크 장비로 상기 패킷 제어 규칙을 전송하는 단계를 포함할 수 있다. A method of protecting a distributed denial of service attack in a network management server according to an embodiment of the present invention includes receiving traffic pattern information from a client terminal, generating a packet control rule based on the traffic pattern information, And sending the packet control rules to the corresponding network equipment.
여기서, 상기 트래픽 패턴 정보는 상기 클라이언트 단말에서 현재 제공하고 있는 서비스에 기반하여 상기 클라이언트 단말에 의해 생성될 수 있다. Here, the traffic pattern information may be generated by the client terminal based on a service currently provided by the client terminal.
또한, 상기 네트워크 관리 서버는 상기 패킷 제어 규칙을 서로 다른 상기 클라이언트 단말로부터 수신된 복수의 상기 트래픽 패턴 정보에 기반하여 생성할 수 있다.In addition, the network management server may generate the packet control rule based on a plurality of the traffic pattern information received from the different client terminals.
또한, 상기 클라이언트 단말로부터 변경된 트래픽 패턴 정보를 수신하는 단계를 더 포함하되, 상기 변경된 트래픽 패턴 정보가 수신되면, 상기 변경된 트래픽 패턴 정보에 기반하여 상기 패킷 제어 규칙을 갱신한 후 상기 네트워크 장비에 전송할 수 있다.The method may further include receiving modified traffic pattern information from the client terminal. When the changed traffic pattern information is received, the packet control rule may be updated based on the changed traffic pattern information and then transmitted to the network equipment have.
또한, 상기 클라이언트 단말은 분산 서비스 거부 공격이 감지되면, 현재 트래픽 패턴을 변경하고, 상기 변경된 트래픽 패턴 정보를 상기 네트워크 관리 서버에 전송할 수 있다.The client terminal may change a current traffic pattern and transmit the changed traffic pattern information to the network management server when a distributed denial of service attack is detected.
또한, 상기 네트워크 장비는 라우터, 서버 수용 장비, 클라이언트 단말 네트워크 장비 중 적어도 어느 하나를 포함할 수 있다.Also, the network device may include at least one of a router, a server accommodating device, and a client terminal network device.
여기서, 상기 라우터는 백본라우터, 에지라우터 및 액세스라우터 중 적어도 하나를 포함할 수 있다.Here, the router may include at least one of a backbone router, an edge router, and an access router.
또한, 상기 트래픽 패턴 정보는 패킷 크기 정보, 패킷 전송에 사용되는 프로토콜 정보, 패킷 단편화 정보 중 적어도 하나를 포함할 수 있다.In addition, the traffic pattern information may include at least one of packet size information, protocol information used for packet transmission, and packet fragmentation information.
또한, 상기 패킷 제어 규칙은 특정 트래픽 패턴을 가지는 패킷을 폐기하는 규칙, 특정 트래픽 패턴을 가지는 패킷만을 필터링하여 해당 클라이언트 단말로 라우팅하는 규칙, 특정 트래픽 패턴을 가지는 패킷을 소정 장치로 라우팅하는 규칙 및 특정 클라이언트 단말로 전송되는 패킷의 양을 제어하는 규칙 중 적어도 하나의 조합으로 구성될 수 있다.The packet control rule may include rules for discarding packets having a specific traffic pattern, rules for filtering packets having a specific traffic pattern to be routed to corresponding client terminals, rules for routing packets having a specific traffic pattern to a predetermined device, And a rule for controlling the amount of packets transmitted to the client terminal.
본 발명의 다른 일 실시예는 상기한 분산 서비스 거부 공격 방어 방법들 중 어느 하나의 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체가 제공될 수 있다.According to another embodiment of the present invention, a computer-readable recording medium having recorded thereon a program for executing any one of the distributed denial of service attack defense methods can be provided.
본 발명의 또 다른 일 실시예에 따른 네트워크상의 분산 서비스 거부 공격을 방어하는 네트워크 관리 서버는 상기 네트워크상의 클라이언트 단말로부터 트래픽 패턴 정보를 수신하는 통신부와 상기 트패픽 패턴 정보를 네트워크 장비 단위로 분류하는 트래픽 패턴 정보 수집부와 상기 분류된 트래픽 패턴 정보에 기반하여 상기 네트워크 장비 별 패킷 제어 규칙을 생성하는 패킷 제어 규칙 생성부와 상기 생성된 패킷 제어 규칙을 상기 통신부를 통해 해당 네트워크 장비에 전송하는 제어부를 포함할 수 있다.A network management server for defending a distributed denial of service attack on a network according to another exemplary embodiment of the present invention includes a communication unit for receiving traffic pattern information from a client terminal on the network, a traffic classifying unit for classifying the traffic pattern information into network equipment units A packet control rule generation unit for generating a packet control rule for each network device based on the classified traffic pattern information and a control unit for transmitting the generated packet control rule to the corresponding network equipment through the communication unit can do.
여기서, 상기 트래픽 패턴 정보는 상기 클라이언트 단말에서 현재 제공하고 있는 서비스에 기반하여 상기 클라이언트 단말에 의해 생성될 수 있다.Here, the traffic pattern information may be generated by the client terminal based on a service currently provided by the client terminal.
또한, 상기 패킷 제어 규칙 생성부는 상기 클라이언트 단말로부터 변경된 트래픽 패턴 정보가 수신되면, 상기 변경된 트래픽 패턴 정보에 기반하여 상기 패킷 제어 규칙을 갱신하고, 상기 제어부가 상기 갱신된 패킷 제어 규칙을 해당 네트워크 장비로 전송할 수 있다.When the changed traffic pattern information is received from the client terminal, the packet control rule generator updates the packet control rule based on the changed traffic pattern information, and the controller transmits the updated packet control rule to the corresponding network equipment Lt; / RTI >
또한, 상기 클라이언트 단말은 분산 서비스 거부 공격이 감지되면, 현재 트래픽 패턴을 상이한 트래픽 패턴으로 변경하고, 상기 변경된 트래픽 패턴에 관한 정보를 상기 네트워크 관리 서버에 전송할 수 있다. The client terminal may change a current traffic pattern to a different traffic pattern and transmit information on the changed traffic pattern to the network management server when a distributed denial of service attack is detected.
또한, 상기 네트워크 장비는 라우터, 서버 수용 장비, 클라이언트 단말 네트워크 장비 중 적어도 어느 하나를 포함할 수 있다.Also, the network device may include at least one of a router, a server accommodating device, and a client terminal network device.
여기서, 상기 라우터는 백본라우터, 에지라우터 및 액세스라우터 중 적어도 하나를 포함할 수 있다.Here, the router may include at least one of a backbone router, an edge router, and an access router.
또한, 상기 트래픽 패턴 정보는 패킷 크기 정보, 패킷 전송에 사용되는 프로토콜 정보, 패킷 단편화 정보 중 적어도 하나를 포함할 수 있다.In addition, the traffic pattern information may include at least one of packet size information, protocol information used for packet transmission, and packet fragmentation information.
또한, 상기 패킷 제어 규칙은 특정 트래픽 패턴을 가지는 패킷을 폐기하는 규칙, 특정 트래픽 패턴을 가지는 패킷만을 필터링하여 해당 클라이언트 단말로 라우팅하는 규칙, 특정 트래픽 패턴을 가지는 패킷을 소정 장치로 라우팅하는 규칙 및 특정 클라이언트 단말로 전송되는 패킷의 양을 제어하는 규칙 중 적어도 하나의 조합으로 구성될 수 있다.The packet control rule may include rules for discarding packets having a specific traffic pattern, rules for filtering packets having a specific traffic pattern to be routed to corresponding client terminals, rules for routing packets having a specific traffic pattern to a predetermined device, And a rule for controlling the amount of packets transmitted to the client terminal.
또한, 상기 네트워크 장비로부터 수신된 패킷에 기반하여 공격 특성을 분석하는 공격 특성 분석부를 더 포함하되, 상기 분석된 공격 특성에 관한 정보를 상기 클라이언트 단말에 전송할 수 있다.The attacker may further include an attack characteristic analysis unit for analyzing an attack characteristic based on a packet received from the network device, and may transmit information on the analyzed attack characteristic to the client terminal.
또한, 상기 클라이언트 단말과 상기 네트워크 장비 사이의 연결 관계를 식별하기 위한 라우팅 테이블을 더 포함하되, 상기 트래픽 패턴 정보 수집부가 상기 라우팅 테이블을 참조하여 상기 네트워크 장비 별 상기 트래픽 패턴 정보를 분류할 수 있다.The network device may further include a routing table for identifying a connection relationship between the client terminal and the network device. The traffic pattern information collector may classify the traffic pattern information for each network device by referring to the routing table.
본 발명의 또 다른 일 실시예에 따른 네트워크 관리 서버와 연동하여 분산 서비스 거부 공격을 방어하는 클라이언트 단말은 현재 제공하고 있는 서비스에 대응되는 트래픽 패턴을 추출하는 트래픽 패턴 추출부와 상기 추출된 트래픽 패턴 정보를 상기 네트워크 관리 서버에 전송하는 통신부와 네트워크 장비로부터 수신된 패킷을 분석하여 분산 서비스 거부 공격 발생 여부를 감지하는 공격 감지부와 상기 분산 서비스 거부 공격이 감지되면 상기 트래픽 패턴을 변경하는 트래픽 패턴 변경부를 포함할 수 있다.A client terminal that defends a distributed denial of service attack in cooperation with a network management server according to another embodiment of the present invention includes a traffic pattern extracting unit for extracting a traffic pattern corresponding to a currently provided service, And a traffic pattern changing unit for changing the traffic pattern when the distributed denial of service attack is detected, and a traffic pattern change unit for changing the traffic pattern when the distributed denial of service attack is detected, .
상기 본 발명의 양태들은 본 발명의 바람직한 실시예들 중 일부에 불과하며, 본원 발명의 기술적 특징들이 반영된 다양한 실시예들이 당해 기술분야의 통상적인 지식을 가진 자에 의해 이하 상술할 본 발명의 상세한 설명을 기반으로 도출되고 이해될 수 있다.It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. And can be understood and understood.
본 발명에 따른 방법 및 장치에 대한 효과에 대해 설명하면 다음과 같다.Effects of the method and apparatus according to the present invention will be described as follows.
첫째, 본 발명은 서버 인지 기반의 네트워크 분산 서비스 거부 공격 방어 방법 및 장치를 제공하는 장점이 있다.First, the present invention is advantageous in that it provides a method and an apparatus for defending a network distributed denial-of-service attack based on a server.
둘째, 본 발명은 클라이언트 단말과의 연동을 통해 클라이언트 단말 단위로 분산 서비스 거부 공격을 감지하고 이를 적응적으로 차단하는 것이 가능한 분산 서비스 거부 공격 방어 방법을 제공하는 장점이 있다.Second, the present invention has an advantage of providing a distributed denial-of-service attack defense method capable of detecting a distributed denial-of-service attack in units of client terminals through an interoperation with a client terminal and adaptively blocking the denial-of-service denial attack.
셋째, 본 발명은 클라이언트 단말로부터 수신되는 실시간 트래픽 패턴 정보에 기반하여 적응적으로 네트워크 장비상에서의 패킷 처리 동작을 제어하는 네트워크 관리 서버를 제공함으로써, 다양한 DDoS 공격에 적응적으로 대응할 수 있는 장점이 있다.Third, the present invention provides an advantage of adaptively adapting to various DDoS attacks by providing a network management server that controls packet processing operations on network devices adaptively based on real-time traffic pattern information received from a client terminal .
넷째, 본 발명은 DDoS 공격이 감지되면 트래픽 패턴을 변경하고, 변경된 트래픽 패턴 정보를 네트워크 관리 서버에 전송하는 것이 가능한 클라이언트 단말을 제공함으로써, 분산 서비스 거부 공격에 빠르게 대응할 수 있는 장점이 있다.Fourth, the present invention provides a client terminal capable of changing a traffic pattern and transmitting changed traffic pattern information to a network management server when a DDoS attack is detected, thereby being capable of responding to a distributed denial of service attack quickly.
다섯째, 본 발명은 DDoS 공격 감지 시 네트워크 관리 서버에서 서버 단위로 공격 패턴을 분석하여 통계 처리하고, 통계 처리 결과를 클라이언트 단말에 제공함으로써, 클라이언트 단말이 DDoS 공격에 회피 가능한 트래픽 패턴을 선택 가능하게 하는 장점이 있다.Fifth, according to the present invention, when a DDoS attack is detected, the network management server analyzes attack patterns on a server basis, statistically processes the statistics, and provides a statistical processing result to client terminals, thereby enabling a client terminal to select a traffic pattern that can avoid a DDoS attack There are advantages.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtained by the present invention are not limited to the above-mentioned effects, and other effects not mentioned can be clearly understood by those skilled in the art from the following description will be.
이하에 첨부되는 도면들은 본 발명에 관한 이해를 돕기 위한 것으로, 상세한 설명과 함께 본 발명에 대한 실시예들을 제공한다. 다만, 본 발명의 기술적 특징이 특정 도면에 한정되는 것은 아니며, 각 도면에서 개시하는 특징들은 서로 조합되어 새로운 실시예로 구성될 수 있다.
도 1은 본 발명의 일 실시예에 따른 시스템 구성을 설명하기 위한 블록도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 분산 서비스 거부 공격 방어 절차를 설명하기 위한 흐름도이다.
도 3은 본 발명의 다른 일 실시예에 따른 네트워크 분산 서비스 거부 공격 방어 절차를 설명하기 위한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 고객 서버의구성을 설명하기 위한 블록도이다.
도 5는 본 발명의 일 실시예에 따른 네트워크 관리 서버의 구성을 설명하기 위한 블록도이다.
도 6은 본 발명의 일 실시예에 따른 고객 서버가 전송하는 트래픽 패턴 정보를 설명하기 도면이다.
도 7 내지 9는 본 발명의 다른 일 실시예에 따른 고객 서버가 전송하는 트래픽 패턴 정보를 설명하기 도면이다.BRIEF DESCRIPTION OF THE DRAWINGS The accompanying drawings, which are included to provide a further understanding of the invention and are incorporated in and constitute a part of this specification, illustrate embodiments of the invention and, together with the description, serve to explain the principles of the invention. It is to be understood, however, that the technical features of the present invention are not limited to the specific drawings, and the features disclosed in the drawings may be combined with each other to constitute a new embodiment.
1 is a block diagram illustrating a system configuration according to an embodiment of the present invention.
2 is a flowchart illustrating a network distributed denial of service attack defense procedure according to an embodiment of the present invention.
3 is a flowchart illustrating a network distributed denial of service attack defense procedure according to another embodiment of the present invention.
4 is a block diagram illustrating a configuration of a customer server according to an embodiment of the present invention.
5 is a block diagram illustrating a configuration of a network management server according to an embodiment of the present invention.
6 is a view for explaining traffic pattern information transmitted by a customer server according to an embodiment of the present invention.
7 to 9 are views for explaining traffic pattern information transmitted by a customer server according to another embodiment of the present invention.
이하, 본 발명의 실시예들이 적용되는 장치 및 다양한 방법들에 대하여 도면을 참조하여 보다 상세하게 설명한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, an apparatus and various methods to which embodiments of the present invention are applied will be described in detail with reference to the drawings. The suffix "module" and " part "for the components used in the following description are given or mixed in consideration of ease of specification, and do not have their own meaning or role.
이상에서, 본 발명의 실시예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성 요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. 또한, 그 모든 구성 요소들이 각각 하나의 독립적인 하드웨어로 구현될 수 있지만, 각 구성 요소들의 그 일부 또는 전부가 선택적으로 조합되어 하나 또는 복수 개의 하드웨어에서 조합된 일부 또는 전부의 기능을 수행하는 프로그램 모듈을 갖는 컴퓨터 프로그램으로서 구현될 수도 있다. 그 컴퓨터 프로그램을 구성하는 코드들 및 코드 세그먼트들은 본 발명의 기술 분야의 당업자에 의해 용이하게 추론될 수 있을 것이다. 이러한 컴퓨터 프로그램은 컴퓨터가 읽을 수 있는 저장매체(Computer Readable Media)에 저장되어 컴퓨터에 의하여 읽혀지고 실행됨으로써, 본 발명의 실시예를 구현할 수 있다. 컴퓨터 프로그램의 저장매체로서는 자기 기록매체, 광 기록매체, 캐리어 웨이브 매체 등이 포함될 수 있다.While the present invention has been described in connection with what is presently considered to be the most practical and preferred embodiments, it is to be understood that the invention is not limited to the disclosed embodiments. That is, within the scope of the present invention, all of the components may be selectively coupled to one or more of them. In addition, although all of the components may be implemented as one independent hardware, some or all of the components may be selectively combined to perform a part or all of the functions in one or a plurality of hardware. As shown in FIG. The codes and code segments constituting the computer program may be easily deduced by those skilled in the art. Such a computer program can be stored in a computer-readable storage medium, readable and executed by a computer, thereby realizing an embodiment of the present invention. As the storage medium of the computer program, a magnetic recording medium, an optical recording medium, a carrier wave medium, or the like may be included.
또한, 이상에서 기재된 "포함하다", "구성하다" 또는 "가지다" 등의 용어는, 특별히 반대되는 기재가 없는 한, 해당 구성 요소가 내재될 수 있음을 의미하는 것이므로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것으로 해석되어야 한다. 기술적이거나 과학적인 용어를 포함한 모든 용어들은, 다르게 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥 상의 의미와 일치하는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.It is also to be understood that the terms such as " comprises, "" comprising," or "having ", as used herein, mean that a component can be implanted unless specifically stated to the contrary. But should be construed as including other elements. All terms, including technical and scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs, unless otherwise defined. Commonly used terms, such as predefined terms, should be interpreted to be consistent with the contextual meanings of the related art, and are not to be construed as ideal or overly formal, unless expressly defined to the contrary.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성 요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성 요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성 요소 사이에 또 다른 구성 요소가 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.In describing the components of the present invention, terms such as first, second, A, B, (a), and (b) may be used. These terms are intended to distinguish the constituent elements from other constituent elements, and the terms do not limit the nature, order or order of the constituent elements. When a component is described as being "connected", "coupled", or "connected" to another component, the component may be directly connected to or connected to the other component, It should be understood that an element may be "connected," "coupled," or "connected."
도 1은 본 발명의 일 실시예에 따른 시스템 구성을 설명하기 위한 블록도이다.1 is a block diagram illustrating a system configuration according to an embodiment of the present invention.
도 1을 참조하면, 본 발명에 따른 시스템은 네트워크 관리 서버(10), 고객 서버(20), 고객서버 네트워크 장비(30), 에지라우터(Edge Router, 40), 백본라우터(Backbone Router, 50), 인터넷 데이터 센터(IDC : Internet Data Center, 60), 국제 게이트웨이(International Gateway, 70), 외부 인터넷 서비스 제공자(External Internet Service Provider, 80) 등을 포함하여 구성될 수 있다.1, a system according to the present invention includes a
고객 서버(20)는 본 발명에 따른 클라이언트 단말의 한 예로써, 다양한 웹 서비스를 제공하는 웹 서버, 게임 서비스를 제공하는 게임 서버, 금융 서비스를 제공하는 금융 서버, 광고 서비스를 제공하는 광고 서버 등을 포함할 수 있다. 클라이언트 단말의 다른 일 예로, 스마트폰, 노트북, 웨어어블 디바이스 등의 개인 휴대 단말뿐만 아니라 테블릿 PC 등의 고정 단말 등을 포함할 수도 있다.The
상기한 시스템 구성은 반드시 필수적인 것은 아니어서, 사업자의 망 설계에 따라 일부 구성이 추가되거나 삭제될 수도 있음을 주의해야 한다.It should be noted that the above-described system configuration is not necessarily essential, and some configurations may be added or deleted depending on the operator's network design.
네트워크 관리 서버(10)는 클라이언트 단말로부터 수신되는 트래픽 패턴 정보에 기반하여 해당 네트워크에 발생되는 DDoS 공격을 방어하기 위한 일련의 제어 절차를 수행할 수 있다. 이하에서는, 클라이언트 단말이 웹 서버, 게임 서버 등과 같은 고객 서버(20)인 경우를 예를 들어 설명하기로 한다. 여기서, 고객 서버는 도 1에 도시된 바와 같이, 고객서버네트워크 장비(30)에 연결된 고객 서버(20) 및 서버 수용 장비(61)에 연결된 제1 내지 제n 고객 서버(63) 등을 포함할 수 있다.The
일 예로, 네트워크 관리 서버(10)는 고객 서버로부터 현재 해당 고객 서버에서 발생되고 있는 트래픽 패턴에 관한 정보를 실시간으로 수집할 수 있다. 이 후, 네트워크 관리 서버(10)는 수집된 트래픽 패턴 정보에 기반하여 네트워크 장치 별 패킷 처리 규칙을 생성하고, 생성된 패킷 처리 규칙을 해당 네트워크 장치에 전송할 수 있다. 연이어, 네트워크 장치는 수신된 패킷 처리 규칙에 따라 패킷을 처리할 수 있다. For example, the
여기서, 패킷 처리 규칙은 패킷 크기에 관한 정보, 패킷 분할 규칙(Packet Fragmentation Rule)에 관한 정보, 패킷 프로토콜에 관한 정보, IP 패킷 버전에 관한 정보 및 IP 패킷 식별자 정보 중 적어도 어느 하나를 포함할 수 있다.Here, the packet processing rule may include at least one of information on the packet size, information on the packet fragmentation rule, information on the packet protocol, information on the IP packet version, and IP packet identifier information .
또한, 네트워크 장치는 해당 네트워크를 구성하는 라우터-여기서, 라우터는 가입자단 엑세스라우터(미도시), 에지라우터(40) 및 백본라우터(50) 중 적어도 하나를 포함할 수 있음-, 고객서버 네트워크 장비(30)-여기서, 고객서버 네트워크 장비(30)는 홈 네트워크의 허브 기능을 제공하는 엑세스라우터를 포함할 수 있음-, 서버 수용 장비(61) 등을 포함할 수 있다.In addition, the network device may include at least one of a router constituting the network, where the router may be a subscriber-only access router (not shown), an
따라서, 해당 네트워크 장치에 연결된 고객 서버의 종류 및 해당 네트워크 장치의 네트워크 연결 구조에 따라 상이한 패킷 처리 규칙이 생성될 수 있다.Therefore, different packet processing rules can be generated depending on the type of the client server connected to the network device and the network connection structure of the network device.
일 예로, 도 1을 참조하면, 하나의 고객 서버(20)가 연결된 고객서버 네트워크 장비(30)와 제1 내지 제n 고객 서버(63)가 연결된 서버 수용 장비(610)에 대응되는 패킷 처리 규칙은 서로 상이할 수 있다. For example, referring to FIG. 1, a packet processing rule corresponding to a server
상기한 도 1에는 백본라우터(50)와 네트워크 관리 서버(10) 사이의 직접적인 통인 선로가 도시되어 있지 않으나, 이는 하나의 실시예에 불과하며, 본 발명의 다른 일 실시예는 네트워크 관리 서버(10)가 백본라우터(50) 사이에 직접적인 선로가 연결될 수도 있음을 주의해야 한다.1 does not show a direct communication line between the
인터넷 데이터 센터(60)는 고객 서버를 한데 모아 집중시킬 필요가 있을 때 설치되며, 서버 수용 장비(61)와 서버 수용 장비(61)에 연결된 제1 내지 제n 고객 서버(63)로 구성될 수 있다. 일 예로, 인터넷 데이터 센터(60)는 온라인 게임과 같이 대용량의 실시간 데이터를 처리하는 복수의 서버들을 통합 관리하기 위한 용도로 사용될 수 있다.The
백본라우터(50)에는 복수의 에지라우터(40) 및 복수의 인터넷 데이터 센터(60)가 연결될 수 있다. 또한, 백본라우터(50)는 타사망에 연결된 외부 인터넷 서비스 서버(80) 및 해외망으로의 연결을 제공하는 국제 게이트웨이(70)와도 연결될 수 있다.A plurality of
도 2는 본 발명의 일 실시예에 따른 네트워크 분산 서비스 거부 공격 방어 절차를 설명하기 위한 흐름도이다.2 is a flowchart illustrating a network distributed denial of service attack defense procedure according to an embodiment of the present invention.
도 2를 참조하면, 고객 서버(20)는 현재 자신이 처리하고 있는 트래픽 패턴이 인지되면, 인지된 트래픽 패턴 정보를 네트워크 관리 서버(10)에 전송할 수 있다(S201 내지 S203). 일반적으로, 고객 서버(20) 별 제공하고 있는 서비스의 종류에 따라 트래픽의 종류가 상이할 수 있으며, 그에 따른 트래픽 패턴도 상이할 수 있다.Referring to FIG. 2, the
일 예로, 트래픽 패턴 정보는 패킷 크기 정보, 패킷 전송에 사용되는 프로토콜 정보, 패킷 분할 전송에 관한 정보 등을 포함할 수 있다.For example, the traffic pattern information may include packet size information, protocol information used for packet transmission, information about packet division transmission, and the like.
네트워크 관리 서버(10)는 수신된 트래픽 패턴 정보에 상응하는 패킷 제어 규칙을 생성하고, 생성된 패킷 제어 규칙이 포함된 패킷 제어 요청 메시지를 에지라우터(40)에 전송할 수 있다(S204 내지 S205).The
에지라우터(40)는 수신된 패킷 제어 규칙에 따라 수신되는 패킷 필터링 및 라우팅을 수행할 수 있다(S207).The
고객 서버(20)는 DDoS 공격이 감지되면, 트래픽 패턴을 변경하고, 변경된 트래픽 패턴 정보를 네트워크 관리 서버(10)에 전송할 수 있다(S209 내지 S213). 여기서, 고객 서버(20)는 현재 서비스하고 트래픽 패턴에 기반하여 원하지 않는 크기 또는 원하지 않는 프로토콜 타입 또는 원하지 않는 분할 타입의 패킷이 수신되거나 수신 트래픽의 양이 기준치 이상인 경우, DDoS 공격이 발생된 것으로 판단할 수 있다.When the DDoS attack is detected, the
네트워크 관리 서버(10)는 변경된 트래픽 패턴 정보에 기반하여 패킷 제어 규칙을 갱신하고, 갱신된 패킷 제어 규칙을 포함하는 패킷 제어 요청 메시지를 해당 에지라우터(40)에 전송할 수 있다(S215 내지 S217).The
이 후, 에지라우터(40)는 갱신된 패킷 제어 규칙에 따라 이 후, 수신되는 패킷을 필터링하여 라우팅할 수 있다.Thereafter, the
본 발명의 일 실시예에 따른 패킷 제어 규칙은 특정 트래픽 패턴을 가지는 패킷을 폐기하는 규칙, 특정 트래픽 패턴을 가지는 패킷만을 필터링하여 해당 고객 서버로 라우팅하는 규칙, 특정 트래픽 패턴을 가지는 패킷을 소정 장치-여기서, 장치는 네트워크 관리 서버(10)이거나 별도의 트래픽 분석 서버(미도시)일 수 있음-로 라우팅하는 규칙, 특정 고객 서버로 전송되는 패킷의 양을 제어하는 규칙 등을 포함할 수 있다. A packet control rule according to an exemplary embodiment of the present invention includes rules for discarding a packet having a specific traffic pattern, rules for filtering only packets having a specific traffic pattern, routing the packet to a corresponding customer server, Here, the apparatus may include a rule for routing to the
네트워크 관리 서버(10)는 에지라우터(40)로부터 패킷이 수신되는 경우, 수신된 패킷을 분석하여 DDoS 공격 패턴을 분석할 수 있으며, 분석 결과를 해당 고객 서버에 전송할 수 있다. 이 경우, 고객 서버는 수신된 분석 결과에 따라 트래픽 패턴을 변경함으로써, 가능한 DDoS 공격을 미연에 방지할 수 있다.When a packet is received from the
도 3은 본 발명의 다른 일 실시예에 따른 네트워크 분산 서비스 거부 공격 방어 절차를 설명하기 위한 흐름도이다.3 is a flowchart illustrating a network distributed denial of service attack defense procedure according to another embodiment of the present invention.
도 3을 참조하면, IDS(60)에 포함된 제1 내지 제n 고객 서버(63)는 트래픽 패턴이 인지되면, 인지된 트래픽 패턴 정보를 네트워크 관리 서버(10)에 전송할 수 있다(S301 내지 S303).Referring to FIG. 3, the first to
네트워크 관리 서버(10)는 수신된 제1 내지 제n 트래픽 패턴 정보에 대응되는 서버 수용 장비(61)를 식별하고, 제1 내지 제n 고객 서버(63)로부터 수집된 제1 내지 제n 트래픽 패턴 정보에 기반하여 식별된 서버 수용 장비(61)에 대응되는 패킷 처리 규칙을 생성할 수 있다(S305).The
네트워크 관리 서버(10)는 생성된 패킷 처리 규칙이 포함된 패킷 제어 요청 메시지를 식별된 서버 수용 장비(61)에 전송할 수 있다(S307).The
서버 수용 장비(61)는 수신된 패킷 처리 규칙에 기반하여 수신된 패킷에 대한 필터링 및 라우팅을 수행할 수 있다(S309).The server
제1 내지 제n 고객 서버(63) 중 DDoS 공격을 감지한 고객 서버는 트래픽 패턴을 변경하고, 변경된 트래픽 패턴 정보를 네트워크 관리 서버(10)에 전송할 수 있다(S311 내지 S315). The customer server detecting the DDoS attack among the first to
네트워크 관리 서버(10)는 변경된 트래픽 패턴 정보에 기반하여 해당 서버 수용 장비(61)에 대응되는 패킷 제어 규칙을 갱신하고, 갱신된 패킷 제어 규칙을 포함하는 패킷 제어 요청 메시지를 해당 서버 수용 장비(61)에 전송할 수 있다(S317 내지 S319).The
이 후, 서버 수용 장비(61)는 갱신된 패킷 제어 규칙에 따라 이 후, 수신되는 패킷을 필터링하여 라우팅할 수 있다.Thereafter, the server
이상의 도 2 내지 3에서는 네트워크 관리 서버(10)가 고객 서버로부터 수신되는 트래픽 패턴 정보에 기반하여 서버 수용 장비(61) 또는 에지라우터(40)에 패킷 제어 규칙을 전송하는 것으로 설명되고 있으나, 이는 하나의 실시예에 불과하며, 본 발명의 다른 일 실시예에 따른 네트워크 관리 서버(10)은 백본라우터(50) 및 고객서버 네트워크 장비(30)에도 패킷 제어 규칙을 전송하여 DDoS 공격을 방어할 수 있음을 주의해야 한다.2 to 3, the
도 4는 본 발명의 일 실시예에 따른 고객 서버의 구성을 설명하기 위한 블록도이다.4 is a block diagram illustrating a configuration of a customer server according to an embodiment of the present invention.
도 4를 참조하면, 고객 서버(20)는 통신부(410), 트래픽 패턴 추출부(420), 공격 감지부(430), 트래픽 패턴 변경부(440) 및 제어부(450)를 포함하여 구성될 수 있다.4, the
통신부(410)는 인접 장치와의 패킷 통신을 수행할 수 있다. 일 예로, 통신부(410)는 제어부(450)로부터 수신된 트래픽 패턴 정보를 네트워크 관리 서버(10)에 전송할 수 있다. 또한, 통신부(410)는 고객 서버(20)에서 생성된 패킷을 외부 네트워크 장비로 전송하거나 외부 네트워크 장비로부터 수신된 패킷을 처리하여 제어부(450)에 전달할 수 있다. The
트래픽 패턴 추출부(420)는 고객 서버(20)에서 제공하는 서비스에 대응되는 트래픽 패턴을 추출할 수 있다. 추출된 트래픽 패턴은 제어부(450)에 전달될 수 있다.The traffic
공격 감지부(430)는 수신된 패킷을 분석하여 DDoS 공격 여부를 판단하는 기능을 수행할 수 있다. 공격 감지부(430)는 DDoS 공격이 감지되면, 소정 이벤트 신호를 제어부(450)에 전송할 수 있다. 이때, 제어부(450)는 트래픽 패턴 변경부(440)에 트래픽 패턴을 갱신하도록 요청할 수 있다. The
본 발명의 다른 일 실시예에 따른 공격 감지부(430)는 DDoS 공격 패턴을 분석하고, 분석된 DDoS 공격 패턴을 제어부(450)에 전달할 수도 있다. 이 경우, 트래픽 패턴 변경부(440)는 제어부(450)로부터 전달 받은 DDoS 공격 패턴에 기반하여 트래픽 패턴을 변경할 수도 있다.The
제어부(450)는 고객 서버(20)의 전체적인 동작을 제어할 수 있다. The
도 5는 본 발명의 일 실시예에 따른 네트워크 관리 서버의 구성을 설명하기 위한 블록도이다.5 is a block diagram illustrating a configuration of a network management server according to an embodiment of the present invention.
도 5를 참조하면, 네트워크 관리 서버(10)는 통신부(510), 트래픽 패턴 정보 수집부(520), 패킷 제어 규칙 생성부(530), 공격 특성 분석부(540), 라우팅 테이블(550), 제어부(560) 중 적어도 하나를 포함하여 구성될 수 있다.5, the
통신부(510)는 인접 장치와의 패킷 통신 및 제어 메시지 송수신을 수행할 수 있다. 일 예로, 통신부(510)는 고객 서버로부터 트래픽 패턴 정보를 수신하여 제어부(560)에 전달하거나, 제어부(560)로부터 수신된 패킷 제어 요청 메시지를 해당 네트워크 장비-여기서, 네트워크 장비는 에지라우터(40), 백본라우터(40), 서버 수용 장비(61), 고객서버 네트워크 장비(30) 등을 포함함-에 전송할 수 있다.The
트래픽 패턴 정보 수집부(520)는 트래픽 패턴 정보를 네트워크 장비 단위로 수집하는 기능을 수행할 수 있다. 일 예로, 트래픽 패턴 정보 수집부(520)는 서버 수용 장비(61)에 연결된 제1 내지 제n 고객 서버(63)로부터 수신된 트래픽 패턴 정보를 그룹화할 수 있다.The traffic pattern
패킷 제어 규칙 생성부(530)는 네트워크 장비 별 수집된 트래픽 패턴 정보에 기반하여 패킷 제어 규칙을 생성할 수 있다.The packet control
공격 특성 분석부(540)는 네트워크 장비에 의해 라우팅된 패킷을 분석하여 고객 서버 별 DDoS 공격 특성을 추출하는 기능을 수행할 수 있다. 추출된 DDoS 공격 특성은 해당 고객 서버에 전송될 수 있으며, 이 경우, 고객 서버는 수신된 DDoS 공격 특성을 참조하여 트래픽 패턴을 변경할 수도 있다.The attack
라우팅 테이블(550)은 해당 네트워크를 구성하는 모든 노드들의 연결 관계를 식별하기 위한 정보가 유지될 수 있다. 일 예로, 트래픽 패턴 정보 수집부(520)는 라우팅 테이블(550)을 참조하여 특정 네트워크 장비에 연결된 고객 서버를 식별할 수도 있다.In the routing table 550, information for identifying connection relationships of all the nodes constituting the network may be maintained. For example, the traffic pattern
제어부(560)는 네트워크 관리 서버(10)의 전체적인 동작을 제어할 수 있다.The
도 6은 본 발명의 일 실시예에 따른 고객 서버가 전송하는 트래픽 패턴 정보를 설명하기 위한 IPv4 헤더 구조이다.6 is an IPv4 header structure for explaining traffic pattern information transmitted by a customer server according to an embodiment of the present invention.
도 6을 참조하면, IPv4 헤더(600)는 버전(Version, 601) 필드, IP 헤더 길이(IP Header Length, 602) 필드, 서비스 타입(Type of Service, 603) 필드, 총 길이(Total Length, 604) 필드, 식별자(Identification, 605) 필드, 플래그(Flags, 606) 필드, 분할 옵셋(Fragment Offset, 607) 필드, TTL(Time To Live, 608) 필드, 프로토콜(Protocol, 609) 필드, 헤더 체크썸(Header Checksum, 610) 필드, 발신지 주소(Source Address, 611) 필드 및 목적지 주소(Destination Address, 612) 필드를 포함하여 구성될 수 있다. 6, the
버전(601)은 해당 IP 패킷이 IPv4 패킷인지 IPv6 패킷인지를 식별하기 위한 정보이다.The
IP 헤더 길이(602)는 32비트 단위의 해당 IP 헤더의 전체 길이를 지시하기 위한 정보이며, 서비스 타입(603)은 해당 IP 패킷의 우선 순위를 식별하기 위한 정보이다. 일반적으로 우선 순위는 음성>영상>문자 순으로 정의될 수 있다.The
총 길이(604)는 IP 헤더의 길이와 데이터의 길이를 합한 값을 바이트 단위로 표기된다. 따라서, 총 길이(640)에서 IP 헤더 길이(602)를 뺀 값이 데이터 길이가 된다.The
식별자(605)는 각 IP 패킷을 식별하기 위한 번호로서, 패킷을 재조합하기 위한 용도로 사용될 수 있다.The
플래그(606)는 패킷이 단편화되었는지 여부를 식별하기 위한 정보로서, 3개의 비트로 구성된다. 첫번째 비트(X)는 현재 사용되지 않고 있는 예약 비트로 항상 0으로 설정된다. 두번째 비트(D)는 패킷이 분할되었는지 여부를 식별하기 위한 비트로서, 1이면 분할되지 않았음을 의미하고, 0이면 분할되었음을 의미할 수 있다. 세번째 비트(M)은 해당 IP 패킷이 분할된 마지막 패킷인지 여부를 식별하기 위한 비트로 사용된다. 일 예로, M값이 1이면 분할된 마지막 패킷이 아님을 의미하고, 0이면 분할된 마지막 패킷임을 의미할 수 있다.The
분할 옵셋(607)은 패킷 재조립 시 분할된 패킷간의 순서에 대한 정보 및 전체 데이터에서 분할된 패킷의 상대적인 위치 정보를 바이트 단위로 식별하기 위한 값이다.The division offset 607 is a value for identifying the order of the divided packets in the packet reassembly and the relative position information of the divided packets in the entire data in units of bytes.
TTL(608)은 해당 IP 패킷이 경유할 수 있는 최대 홉수를 의미한다. IP 패킷이 라우터를 통과할 때마다 TTL(608) 값은 1씩 감소하고, TTL(608) 값이 0에 도달하면 폐기된다. The
프로토콜(609)는 IP 다이어그램의 몸체에 저장된 상위 계층 프로토콜을 의미한다. 일 예로, 상위 계층 프로토콜은 ICMP, TCP, UDP 등을 포함할 수 있다.The
헤더 체크썸(610)은 수신단에서 IP 헤더의 오류 여부를 확인하기 위한 오류 체크 코드이다.The
발신지 주소(611)는 해당 IP 패킷의 최초 전송 노드를 식별하기 위한 64비트 길이의 IP 주소이고, 목적지 주소(611)는 해당 IP 패킷의 최종 도착 노드를 식별하기 위한 64비트 길이의 IP 주소이다.The
본 발명의 일 실시예에 따른 트래픽 패턴 정보는 상기한 IPv4 헤더(600)에 포함된 적어도 하나의 필드로 구성될 수 있다. 일 예로, 트래픽 패턴 정보는 버전(601), 총 길이(604), 플래그(606), 프로토콜(609) 등의 정보를 포함하여 구성될 수 있다.The traffic pattern information according to an embodiment of the present invention may include at least one field included in the
도 7 내지 9는 본 발명의 다른 일 실시예에 따른 고객 서버가 전송하는 트래픽 패턴 정보를 설명하기 도면이다.7 to 9 are views for explaining traffic pattern information transmitted by a customer server according to another embodiment of the present invention.
도 7은 IPv6의 패킷 헤더 포맷을 보여준다. 도 7을 참조하면, IPv6 헤더(700)는 버전(Version, 701) 필드, 트래픽 클래스(Traffic Class, 702) 필드, 플로우 라벨(Flow Label, 703) 필드, 페이로드 길이(Payload Length, 704) 필드, 넥스트 헤더(Next Header, 705) 필드, 홉 제한(Hop Limit, 706) 필드, 발신지 주소(Source Address, 707) 필드 및 목적지 주소(Destination Address, 708) 필드를 포함하여 구성된다.Figure 7 shows the packet header format of IPv6. 7, the
버전(701)은 IPv6에 대응되는 상수 6(Bit Sequence 0110)으로 설정된다.The
트래픽 클래스(702)는 8비트의 트래픽 클래스는 MSB(Most Significant Bits) 6비트의 해당 패킷에 상응하는 서비스를 식별하기 위한 정보와 2비트 길이의 해당 패킷의 우선 순위를 식별하기 위한 정보로 구성된다.The
플로우 라벨(703)은 20비트 길이를 가지는 실시간 응용 특별 서비스를 제공하기 위한 정보로서, 다중 아웃바운드 경로(Multiple Outbound Paths)를 가지는 라우터나 스위치에 해당 패킷들이 재정렬(Reorder)되지 않도록 동일 패스를 유지하도록 지시하기 위한 용도로 사용될 수 있다.The
페이로드 길이(704)는 바이트 단위의 페이로드 길이를 지시하기 16비트 길이를 갖는 정보이다.The
넥스트 헤더(705)는 넥스트 헤더의 타입을 식별하기 위한 8비트 길이를 갖는 정보로서, 해당 패킷의 페이로드에 의해 사용되는 전송 계층 프로토콜을 식별하기 위한 정보로 사용될 수 있다. 네스트 헤더(705) 값에 대응되는 확장 헤더(Extension header) 필드가 넥스트 헤더(705) 이후에 추가될 수 있다. 네스트 헤더(705) 값과 확장 헤더 사이의 매핑 관계는 도 8의 확장 헤더 매핑 테이블(800)과 같이 정의된다. The
홉 제한(706)은 상기 도 6의 IPv4 헤더(600)의 TTL(608)에 대응될 수 있다. 즉, 해당 IP 패킷이 경유할 수 있는 최대 홉수를 의미한다. IP 패킷이 라우터를 통과할 때마다 홉 제한(706) 값은 1씩 감소하고, 홉 제한(706) 값이 0에 도달하면 해당 IP 패킷이 폐기된다.The
발신지 주소(707)와 목적지 주소(708)는 각각 128 비트의 길이를 가지며, 각각 송신 노드와 수신 노드의 IPv6 주소를 지시한다.The
본 발명의 일 실시예에 따른 트래픽 패턴 정보는 상기한 IPv6 헤더(700)에 포함된 적어도 하나의 필드로 구성될 수 있다. 일 예로, 트래픽 패턴 정보는 버전(701), 트래픽 클래스(702), 페이로드 길이(704), 네스트 헤더(705) 및 해당 네스트 헤더(705)에 대응되는 확장 헤더 정보, 프로토콜(609) 중 적어도 하나를 포함하여 구성될 수 있다.The traffic pattern information according to an embodiment of the present invention may include at least one field included in the
도 9의 도면 번호 900은 넥스트 헤더(705) 값이 44인 경우-즉, 확장 헤더 타입이 단편화(Fragment)인 경우, 삽입되는 단편화 확장 헤더(900)의 포맷을 설명하기 위한 도면이다.
도 9를 참조하면, 단편화 확장 헤더(900)는 네스트 헤더(705) 필드, 8비트 길이의 예약(Reseved, 902) 필드, 13비트 길이의 단편화 옵셋(Fragment Offset, 903), 2비트 길이의 예약 필드(904), 1비트 길이의 M 플래그(M Flag, 905) 필드, 32비트 길이의 식별자(Identification, 906) 필드를 포함하여 구성된다.9, the
단편화 옵셋(903)은 전체 데이터에서 분할된 패킷의 상대적인 위치 정보를 8바이트 단위로 식별하기 위한 값이다.The fragmentation offset 903 is a value for identifying the relative position information of packets divided in the entire data in 8-byte units.
M 플래그(905)는 해당 IP 패킷이 분할된 마지막 패킷인지 여부를 식별하기 위한 비트로 사용된다. 일 예로, M 플래그(905) 값이 1이면 분할된 마지막 패킷이 아님을 의미하고, 0이면 분할된 마지막 패킷임을 의미할 수 있다.The
식별자(906)는 소스 노드에 의해 생성되는 패킷 식별자로서, 원래 패킷을 수신 노드에서 재조합하기 위한 용도로 사용될 수 있다.The
본 발명은 본 발명의 정신 및 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 당업자에게 자명하다. It will be apparent to those skilled in the art that the present invention may be embodied in other specific forms without departing from the spirit or essential characteristics thereof.
따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.Accordingly, the above description should not be construed in a limiting sense in all respects and should be considered illustrative. The scope of the present invention should be determined by rational interpretation of the appended claims, and all changes within the scope of equivalents of the present invention are included in the scope of the present invention.
10: 네트워크 관리 서버
20: 고객 서버
30: 고객서버 네트워크 장비
40: 에지라우터
50: 백본라우터
60: 인터넷 데이터 센터
61: 서버 수용 장비
420: 트래픽 패턴 추출부
440: 트래픽 패턴 변경부
520: 트래픽 패턴 정보 수집부
530: 패킷 제어 규칙 생성부10: Network Management Server
20: Customer server
30: Customer server network equipment
40: edge router
50: backbone router
60: Internet Data Center
61: Server accommodation equipment
420: traffic pattern extracting unit
440: traffic pattern changing section
520: Traffic pattern information collecting unit
530: Packet control rule generation unit
Claims (21)
클라이언트 단말로부터 트래픽 패턴 정보를 수신하는 단계;
상기 트래픽 패턴 정보에 기반하여 패킷 제어 규칙을 생성하는 단계; 및
상기 클라이언트 단말에 상응하는 네트워크 장비로 상기 패킷 제어 규칙을 전송하는 단계
를 포함하는, 분산 서비스 거부 공격 방어 방법.In a distributed denial of service attack method in a network management server
Receiving traffic pattern information from a client terminal;
Generating a packet control rule based on the traffic pattern information; And
Transmitting the packet control rule to the network equipment corresponding to the client terminal
And a distributed denial of service attack defense method.
상기 트래픽 패턴 정보는 상기 클라이언트 단말에서 현재 제공하고 있는 서비스에 기반하여 상기 클라이언트 단말에 의해 생성되는, 분산 서비스 거부 공격 방어 방법.The method according to claim 1,
Wherein the traffic pattern information is generated by the client terminal based on a service currently provided by the client terminal.
상기 패킷 제어 규칙을 서로 다른 상기 클라이언트 단말로부터 수신된 복수의 상기 트래픽 패턴 정보에 기반하여 생성하는, 분산 서비스 거부 공격 방어 방법.3. The method of claim 2,
And generates the packet control rule based on a plurality of the traffic pattern information received from the different client terminals.
상기 클라이언트 단말로부터 변경된 트래픽 패턴 정보를 수신하는 단계를 더 포함하되, 상기 변경된 트래픽 패턴 정보가 수신되면, 상기 변경된 트래픽 패턴 정보에 기반하여 상기 패킷 제어 규칙을 갱신한 후 상기 네트워크 장비에 전송하는, 분산 서비스 거부 공격 방어 방법.3. The method of claim 2,
Further comprising the step of receiving the changed traffic pattern information from the client terminal, wherein when the changed traffic pattern information is received, the packet control rule is updated based on the changed traffic pattern information and then transmitted to the network equipment. How to defend against denial of service attacks.
상기 클라이언트 단말은 분산 서비스 거부 공격이 감지되면, 현재 트래픽 패턴을 변경하고, 상기 변경된 트래픽 패턴 정보를 상기 네트워크 관리 서버에 전송하는 것을 특징으로 하는, 분산 서비스 거부 공격 방어 방법.5. The method of claim 4,
Wherein the client terminal changes the current traffic pattern and transmits the changed traffic pattern information to the network management server when a distributed denial of service attack is detected.
상기 네트워크 장비는 라우터, 서버 수용 장비, 고객 서버 네트워크 장비 중 적어도 어느 하나를 포함하는, 분산 서비스 거부 공격 방어 방법.The method according to claim 1,
Wherein the network equipment comprises at least one of a router, a server accommodating equipment, and a customer server network equipment.
상기 라우터는 백본라우터, 에지라우터 및 액세스라우터 중 적어도 하나를 포함하는, 분산 서비스 거부 공격 방어 방법.The method according to claim 6,
Wherein the router comprises at least one of a backbone router, an edge router and an access router.
상기 트래픽 패턴 정보는 패킷 크기 정보, 패킷 전송에 사용되는 프로토콜 정보, 패킷 단편화 정보 중 적어도 하나를 포함하는, 분산 서비스 거부 공격 방어 방법.The method according to claim 1,
Wherein the traffic pattern information includes at least one of packet size information, protocol information used for packet transmission, and packet fragmentation information.
상기 패킷 제어 규칙은 특정 트래픽 패턴을 가지는 패킷을 폐기하는 규칙, 특정 트래픽 패턴을 가지는 패킷만을 필터링하여 해당 클라이언트 단말로 라우팅하는 규칙, 특정 트래픽 패턴을 가지는 패킷을 소정 장치로 라우팅하는 규칙 및 특정 클라이언트 단말로 전송되는 패킷의 양을 제어하는 규칙 중 적어도 하나의 조합인, 분산 서비스 거부 공격 방어 방법.The method according to claim 1,
The packet control rule includes a rule for discarding a packet having a specific traffic pattern, a rule for filtering only packets having a specific traffic pattern to route to a corresponding client terminal, a rule for routing a packet having a specific traffic pattern to a predetermined device, And a rule for controlling the amount of packets to be transmitted to the mobile station.
상기 네트워크상의 클라이언트 단말로부터 트래픽 패턴 정보를 수신하는 통신부;
상기 트패픽 패턴 정보를 네트워크 장비 단위로 분류하는 트래픽 패턴 정보 수집부;
상기 분류된 트래픽 패턴 정보에 기반하여 상기 네트워크 장비 별 패킷 제어 규칙을 생성하는 패킷 제어 규칙 생성부; 및
상기 생성된 패킷 제어 규칙을 상기 통신부를 통해 해당 네트워크 장비에 전송하는 제어부
를 포함하는, 네트워크 관리 서버.A network management server for defending a distributed denial of service attack on a network,
A communication unit for receiving traffic pattern information from a client terminal on the network;
A traffic pattern information collecting unit for classifying the traffic pattern information into network equipment units;
A packet control rule generator for generating a packet control rule for each network device based on the classified traffic pattern information; And
A control unit for transmitting the generated packet control rule to the corresponding network equipment through the communication unit,
And a network management server.
상기 트래픽 패턴 정보는 상기 클라이언트 단말에서 현재 제공하고 있는 서비스에 기반하여 상기 클라이언트 단말에 의해 생성되는, 네트워크 관리 서버.12. The method of claim 11,
Wherein the traffic pattern information is generated by the client terminal based on a service currently provided by the client terminal.
상기 패킷 제어 규칙 생성부는 상기 클라이언트 단말로부터 변경된 트래픽 패턴 정보가 수신되면, 상기 변경된 트래픽 패턴 정보에 기반하여 상기 패킷 제어 규칙을 갱신하고, 상기 제어부가 상기 갱신된 패킷 제어 규칙을 해당 네트워크 장비로 전송하는, 네트워크 관리 서버.13. The method of claim 12,
When the changed traffic pattern information is received from the client terminal, the packet control rule generator updates the packet control rule based on the changed traffic pattern information, and the controller transmits the updated packet control rule to the corresponding network device , Network management server.
상기 클라이언트 단말은 분산 서비스 거부 공격이 감지되면, 현재 트래픽 패턴을 상이한 트래픽 패턴으로 변경하고, 상기 변경된 트래픽 패턴에 관한 정보를 상기 네트워크 관리 서버에 전송하는 것을 특징으로 하는, 네트워크 관리 서버. 14. The method of claim 13,
Wherein the client terminal changes a current traffic pattern to a different traffic pattern and transmits information on the changed traffic pattern to the network management server when a distributed denial of service attack is detected.
상기 네트워크 장비는 라우터, 서버 수용 장비, 고객 서버 네트워크 장비 중 적어도 어느 하나를 포함하는, 네트워크 관리 서버.12. The method of claim 11,
Wherein the network equipment comprises at least one of a router, a server accommodating equipment, and a customer server network equipment.
상기 라우터는 백본라우터, 에지라우터 및 액세스라우터 중 적어도 하나를 포함하는, 네트워크 관리 서버.16. The method of claim 15,
Wherein the router comprises at least one of a backbone router, an edge router, and an access router.
상기 트래픽 패턴 정보는 패킷 크기 정보, 패킷 전송에 사용되는 프로토콜 정보, 패킷 단편화 정보 중 적어도 하나를 포함하는, 네트워크 관리 서버.12. The method of claim 11,
Wherein the traffic pattern information includes at least one of packet size information, protocol information used for packet transmission, and packet fragmentation information.
상기 패킷 제어 규칙은 특정 트래픽 패턴을 가지는 패킷을 폐기하는 규칙, 특정 트래픽 패턴을 가지는 패킷만을 필터링하여 해당 클라이언트 단말로 라우팅하는 규칙, 특정 트래픽 패턴을 가지는 패킷을 소정 장치로 라우팅하는 규칙 및 특정 클라이언트 단말로 전송되는 패킷의 양을 제어하는 규칙 중 적어도 하나의 조합으로 구성되는, 네트워크 관리 서버.12. The method of claim 11,
The packet control rule includes a rule for discarding a packet having a specific traffic pattern, a rule for filtering only packets having a specific traffic pattern to route to a corresponding client terminal, a rule for routing a packet having a specific traffic pattern to a predetermined device, And a rule for controlling the amount of packets transmitted to the network management server.
상기 네트워크 장비로부터 수신된 패킷에 기반하여 공격 특성을 분석하는 공격 특성 분석부를 더 포함하되, 상기 분석된 공격 특성에 관한 정보를 상기 클라이언트 단말에 전송하는, 네트워크 관리 서버.12. The method of claim 11,
Further comprising an attack characteristic analysis unit for analyzing an attack characteristic based on a packet received from the network equipment, wherein the network management server transmits information on the analyzed attack characteristic to the client terminal.
상기 클라이언트 단말과 상기 네트워크 장비 사이의 연결 관계를 식별하기 위한 라우팅 테이블을 더 포함하되, 상기 트래픽 패턴 정보 수집부가 상기 라우팅 테이블을 참조하여 상기 네트워크 장비 별 상기 트래픽 패턴 정보를 분류하는, 네트워크 관리 서버.12. The method of claim 11,
Further comprising a routing table for identifying a connection relationship between the client terminal and the network device, wherein the traffic pattern information collection unit classifies the traffic pattern information for each network device by referring to the routing table.
현재 제공하고 있는 서비스에 대응되는 트래픽 패턴을 추출하는 트래픽 패턴 추출부;
상기 추출된 트래픽 패턴 정보를 상기 네트워크 관리 서버에 전송하는 통신부;
네트워크 장비로부터 수신된 패킷을 분석하여 분산 서비스 거부 공격 발생 여부를 감지하는 공격 감지부; 및
상기 분산 서비스 거부 공격이 감지되면 상기 트래픽 패턴을 변경하는 트래픽 패턴 변경부
를 포함하는, 클라이언트 단말.A client terminal for preventing a distributed denial of service attack in cooperation with a network management server,
A traffic pattern extracting unit for extracting a traffic pattern corresponding to a currently provided service;
A communication unit for transmitting the extracted traffic pattern information to the network management server;
An attack detection unit for analyzing packets received from the network equipment and detecting whether a distributed denial of service attack occurs or not; And
A traffic pattern changing unit for changing the traffic pattern when the distributed denial-
And a client terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150038789A KR20160112661A (en) | 2015-03-20 | 2015-03-20 | Method and apparatus for protecting network from distributed denial of service attack |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150038789A KR20160112661A (en) | 2015-03-20 | 2015-03-20 | Method and apparatus for protecting network from distributed denial of service attack |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20160112661A true KR20160112661A (en) | 2016-09-28 |
Family
ID=57101445
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150038789A KR20160112661A (en) | 2015-03-20 | 2015-03-20 | Method and apparatus for protecting network from distributed denial of service attack |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20160112661A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2602254A (en) * | 2020-12-15 | 2022-06-29 | Senseon Tech Ltd | Network traffic monitoring |
-
2015
- 2015-03-20 KR KR1020150038789A patent/KR20160112661A/en not_active IP Right Cessation
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2602254A (en) * | 2020-12-15 | 2022-06-29 | Senseon Tech Ltd | Network traffic monitoring |
GB2602254B (en) * | 2020-12-15 | 2023-04-05 | Senseon Tech Ltd | Network traffic monitoring |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101589595B (en) | A containment mechanism for potentially contaminated end systems | |
US9130978B2 (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
US7356689B2 (en) | Method and apparatus for tracing packets in a communications network | |
US7752324B2 (en) | Real-time packet traceback and associated packet marking strategies | |
CN113132342B (en) | Method, network device, tunnel entry point device, and storage medium | |
US8874723B2 (en) | Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof | |
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
US11005865B2 (en) | Distributed denial-of-service attack detection and mitigation based on autonomous system number | |
EP1775910B1 (en) | Application layer ingress filtering | |
US10911473B2 (en) | Distributed denial-of-service attack detection and mitigation based on autonomous system number | |
US20200137112A1 (en) | Detection and mitigation solution using honeypots | |
EP3635929B1 (en) | Defend against denial of service attack | |
US20080127324A1 (en) | DDoS FLOODING ATTACK RESPONSE APPROACH USING DETERMINISTIC PUSH BACK METHOD | |
US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
CN101779434A (en) | processing packet flows | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
Mopari et al. | Detection and defense against DDoS attack with IP spoofing | |
Saad et al. | A study on detecting ICMPv6 flooding attack based on IDS | |
Nur et al. | Single packet AS traceback against DoS attacks | |
KR101118398B1 (en) | Method and apparatus for overriding denunciations of unwanted traffic in one or more packet networks | |
WO2005111805A1 (en) | Method of network traffic signature detection | |
US8281400B1 (en) | Systems and methods for identifying sources of network attacks | |
KR20030009887A (en) | A system and method for intercepting DoS attack | |
KR20160112661A (en) | Method and apparatus for protecting network from distributed denial of service attack | |
CN114938308B (en) | Method and device for detecting IPv6 network attack based on address entropy self-adaptive threshold |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
X601 | Decision of rejection after re-examination |