KR20200009366A - Apparatus for detecting Slow HTTP POST DoS Attack - Google Patents

Apparatus for detecting Slow HTTP POST DoS Attack Download PDF

Info

Publication number
KR20200009366A
KR20200009366A KR1020180083631A KR20180083631A KR20200009366A KR 20200009366 A KR20200009366 A KR 20200009366A KR 1020180083631 A KR1020180083631 A KR 1020180083631A KR 20180083631 A KR20180083631 A KR 20180083631A KR 20200009366 A KR20200009366 A KR 20200009366A
Authority
KR
South Korea
Prior art keywords
main server
dos attack
information
data size
http post
Prior art date
Application number
KR1020180083631A
Other languages
Korean (ko)
Other versions
KR102152395B1 (en
Inventor
이기훈
Original Assignee
한국중부발전(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국중부발전(주) filed Critical 한국중부발전(주)
Priority to KR1020180083631A priority Critical patent/KR102152395B1/en
Publication of KR20200009366A publication Critical patent/KR20200009366A/en
Application granted granted Critical
Publication of KR102152395B1 publication Critical patent/KR102152395B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2895Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to an apparatus for detecting a slow HTTP POST DoS attack, which compares a content-length value that is size information of data transmitted from a client PC with an actual transmitted data size when a client requests a POST method connection of an HTTP protocol to a web server, and determines a corresponding attack as a slow HTTP DoS attack if the actual transmitted data size is smaller than a predetermined threshold, thereby protecting a main server. The apparatus for detecting a slow HTTP POST DoS attack includes a reverse proxy server (200) for checking a list of dangerous access information which is suspected as a slow HTTP POST DoS attack by monitoring all communications packets between a client PC and a main server (100) when the client PC is connected to the main server (100) by a POST method using an HTTP protocol. According to the present invention, a connection corresponding to dangerous access information among real-time connections to the main server (100) is blocked if the main server (100) is operated at a set availability threshold or more, and when a main server (100) is newly connected, the reverse proxy server (200) is provided with a content length and an actual data size transmitted from a client PC. In addition, a data size included in the content length and the actual data size are compared, and only when the actual data size is normal exceeding standard, information transmitted from a client PC is provided to the main server (100), thereby protecting the main server from a slow HTTP POST DoS attack.

Description

슬로우 에이치티티피 포스트 도스 공격 탐지장치{Apparatus for detecting Slow HTTP POST DoS Attack}Apparatus for detecting Slow HTTP POST DoS Attack}

본 발명은 클라이언트가 웹서버로 HTTP 프로토콜의 POST 메서드 연결 요청시 클라이언트PC에서 전송되는 데이터의 크기 정보인 컨텐트렝스(Content-Length)값과 실제 전송데이터 크기를 비교하여 임의의 임계치보다 작은 경우 해당 공격을 Slow HTTP DoS 공격이라고 판단하여 메인서버를 보호할 수 있는 Slow HTTP POST DoS 공격 탐지장치에 관한 것이다. The present invention compares the Content-Length value, which is the size information of the data transmitted from the client PC, when the client requests a POST method connection of the HTTP protocol to the web server, and compares the size with the actual transmission data size. Detects a Slow HTTP DoS attack and relates to a Slow HTTP POST DoS attack detection device that can protect the main server.

일반적으로, 서비스 거부(Denial of Service: DoS) 공격은 악의적인 목적을 가진 공격자가 분산 배치된 다수의 감염된 Bot(PC)을 이용하여 일시적으로 특정 사이트를 공격하여 일시적으로 서비스를 마비시키는 공격으로 특정 사이트의 가용성을 파괴하는 대표적인 사이버 공격 중 하나이다. DoS 공격은 OSI 7 layer상 응용계층(application level)에 해당하는 공격과 전송계층(transport level)에 해당하는 공격으로 나눌 수 있다.In general, denial of service (DoS) attacks are attacks in which a malicious attacker temporarily attacks a specific site by using a large number of infected Bots (PCs) distributed and temporarily paralyzed the service. It is one of the representative cyber attacks that destroys the availability of the site. The DoS attack can be divided into an attack corresponding to an application layer on an OSI 7 layer and an attack corresponding to a transport level.

여기서, 슬로우 에이치티티피 포스트 도스(Slow HTTP POST DoS) 공격은 HTTP 프로토콜의 특징을 이용한 공격으로 다른 응용 계층을 대상으로 한 DoS 공격과 마찬가지로 정상적인 연결요청을 거쳐 진행되는 공격이기 때문에 트래픽 분석이나 헤더의 구조적인 문제점 등으로 공격을 방어하기 어렵다. Here, the slow HTTP POST DoS attack is an attack using the characteristics of the HTTP protocol. As a DoS attack targeting other application layers, the slow HTTP POST DoS attack is performed through a normal connection request. It is difficult to defend against attacks due to structural problems.

이러한 공격의 특징은 컨텐트렝스를 크게 설정한 후에 실제 전송시에는 소량의 데이터를 오랜 시간동안 아주 천천히 전송하는 것이다. 여기서, 컨텐트렝스(Content-Length)에는 전송될 데이터의 크기가 포함되어 있다. The characteristic of such an attack is that after setting a large content length, a small amount of data is transmitted very slowly for a long time in actual transmission. Here, the content length includes the size of data to be transmitted.

따라서, 서버는 컨텐트렝스를 통해 전송될 데이터의 크기를 확인한 후에 컨텐트렝스만큼의 실제데이터가 전송될 때까지 연결을 유지하게 되므로, 서버의 가용성이 떨어지게 되어 다른 정상적인 클라이언트PC의 연결을 불가능하게 만드는 문제점이 있다. Therefore, after checking the size of the data to be transmitted through the content length, the server maintains the connection until the actual data as much as the content length is transmitted. Therefore, the availability of the server is reduced, which makes other normal client PCs impossible to connect. There is this.

공개특허공보 제10-2014-0088340호Patent Publication No. 10-2014-0088340

본 발명이 해결하고자 하는 과제는, 클라이언트가 웹서버로 HTTP 프로토콜의 POST 메서드 연결 요청시 클라이언트PC에서 전송되는 데이터의 크기 정보인 컨텐트렝스(Content-Length)값과 실제 전송데이터 크기를 비교하여 임의의 임계치보다 작은 경우 해당 공격을 Slow HTTP DoS 공격이라고 판단하여 메인서버를 보호할 수 있는 Slow HTTP POST DoS 공격 탐지장치를 제공하고자 하는 것이다. The problem to be solved by the present invention is that the client compares the content-length value, which is the size information of the data transmitted from the client PC, when the client requests a POST method connection of the HTTP protocol to the web server, and compares the data with the actual size. If it is smaller than the threshold, the attack is considered to be a Slow HTTP DoS attack, and it is intended to provide a Slow HTTP POST DoS attack detection device that can protect the main server.

본 발명의 일실시예에 따른 Slow HTTP POST DoS 공격 탐지장치는 메인서버(100)에 클라이언트PC가 HTTP 프로토콜을 이용한 POST 메소드로 연결되는 경우 클라이언트PC와 메인서버(100) 간의 모든 통신 패킷을 모니터링하여 Slow HTTP POST DoS 공격이라 의심되는 위험 접속정보의 목록을 확인하는 리버스프록시서버(200)를 포함하고, 메인서버(100)가 설정된 가용성임계치 이상으로 운영되면 메인서버(100)에 실시간으로 연결된 것 중에서 위험 접속정보에 해당되는 연결을 차단하고, 새롭게 메인서버(100)로 연결되는 것은 리버스프록시서버(200)에서 클라이언트PC에서 전송되는 컨텐트렝스와 실제데이터크기를 제공받고, 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 이상의 정상인 경우에만 클라이언트PC에서 전송된 정보를 메인서버(100)로 제공하여 Slow HTTP POST DoS 공격을 방어하는 것을 특징으로 한다.Slow HTTP POST DoS attack detection apparatus according to an embodiment of the present invention monitors all communication packets between the client PC and the main server 100 when the client PC is connected to the main server 100 by the POST method using the HTTP protocol It includes a reverse proxy server 200 to check the list of dangerous access information suspected of a slow HTTP POST DoS attack, and if the main server 100 is operated above the set availability threshold, from among those connected to the main server 100 in real time Blocking the connection corresponding to the dangerous access information, newly connected to the main server 100 receives the content length and the actual data size transmitted from the client PC from the reverse proxy server 200, the data size included in the content length Compare the actual data size with the information provided from the client PC to the main server 100 only if the normal or higher than It features a defense against Slow HTTP POST DoS attacks.

바람직하게, 리버스프록시서버(200)는 Slow HTTP POST Dos 공격으로 판단되면 메인서버에 대한 의심스러운 연결 정보들을 종료시키기 위해 사용될 시간값 설정하는 Slow HTTP POST DoS공격 타이머부(210)와; 메인서버(100)와 클라이언트PC(10) 간 연결 요청시 HTTP POST 메소드를 이용한 연결인지를 확인하는 POST 연결확인부(220)와; POST 연결확인부(220)에 의해서 POST 메소드 연결로 확인되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 모니터링하는 접속정보 모니터링부(230)와; 접속정보 모니터링부(230)에 의한 모니터링된 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 크기보다 작은 경우 해당 접속정보를 위험 접속정보로 분류하여 저장하는 위험 접속정보 분류부(240)와; 메인서버(100)에 대한 가용성임계치를 설정하는 메인서버 가용성임계치설정부(250)와; 메인서버(100)의 가용성을 확인하는 메인서버 가용성확인부(260)와; 메인서버 가용성확인부(260)를 통해 확인된 메인서버(100)의 실시간 가용성이 기 설정된 가용성임계치 이상이면 Slow HTTP POST Dos 공격으로 판단하는 Slow HTTP POST Dos 공격판단부(270)와; Slow HTTP POST Dos 공격판단부(270)에 의해서 Slow HTTP POST DoS 공격으로 판단되면 메인서버(100)에 연결된 접속정보 중 위험 접속정보 분류부(240)에 저장된 접속정보의 연결을 모두 종료시키는 위험 접속정보 차단부(280)와; Slow HTTP POST DoS공격 타이머부(210)에서 설정된 일정시간 동안 메인서버로 새로운 POST 메소드 연결이 요청되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 제공받아 임시 저장하는 신규 접속정보 확인부(290)와; 신규 접속정보 확인부(290)에 의해서 임시 저장된 컨텐트렝스에 포함된 데이터크기와 전송된 실제데이터크기를 비교하여 실제데이터크기가 기준이상이면 정상 접속으로 판단하여 임시 저장된 접속정보들을 메인서버(100)로 제공하고, 실제데이터크기가 기준보다 작은 경우 해당 접속 정보를 바로 연결 종료시키는 신규 접속정보 처리부(300);를 포함하는 것을 특징으로 한다. Preferably, the reverse proxy server 200 includes a Slow HTTP POST DoS attack timer 210 configured to set a time value to be used to terminate suspicious connection information on the main server when it is determined that the Slow HTTP POST Dos attack; A POST connection confirmation unit 220 for checking whether the connection is performed using the HTTP POST method when the connection request between the main server 100 and the client PC 10 is performed; A connection information monitoring unit 230 for monitoring information on the corresponding IP and port 110 information, content length, and actual data size when the connection is confirmed by the POST connection confirmation unit 220; The dangerous access information classifying unit 240 classifies and stores the access information as dangerous access information when the data size included in the monitored content length by the access information monitoring unit 230 is smaller than the reference size and stores the corresponding access information. Wow; A main server availability threshold setting unit 250 for setting an availability threshold for the main server 100; A main server availability checking unit 260 for checking availability of the main server 100; A slow HTTP POST Dos attack determination unit 270 which determines that a slow HTTP POST Dos attack is obtained when the real-time availability of the main server 100 confirmed through the main server availability checking unit 260 is greater than or equal to a predetermined availability threshold; If the slow HTTP POST Dos attack determination unit 270 is determined to be a slow HTTP POST DoS attack risk connection to terminate all connections of the access information stored in the dangerous access information classification unit 240 of the connection information connected to the main server 100 An information blocking unit 280; Slow HTTP POST When the new POST method connection request is made to the main server for a certain time set by the DoS attack timer unit 210, the new information is temporarily stored by receiving information on the corresponding IP and port 110 information, content length and actual data size. A connection information confirmation unit 290; The new access information checking unit 290 compares the data size included in the temporarily stored content length with the actual data size transmitted, and determines the normal access if the actual data size is larger than the reference. And a new access information processing unit 300 for immediately terminating the connection information when the actual data size is smaller than the reference.

본 발명은 클라이언트와 웹 서버 간 HTTP POST 연결 요청시 전송되는 컨텐트렝스(Content-Length)를 실제데이터크기와 비교하여 그 값이 임계치보다 작은 경우 의심스러운 Slow HTTP POST DoS 공격이라고 판단 후 해당 연결 정보들을 저장관리하며 서버의 가용성이 설정된 임계치 이하보다 작아지는 경우 Slow HTTP POST DoS 공격이 시작되었음을 판단하고 저장관리하였던 의심스러운 연결 정보들을 강제 종료시키고 신규 의심스러운 연결정보를 일정시간동안 차단시킴으로써 메인서버를 보호할 수 있으므로, 서버의 정상적인 가용성이 확보되어 다른 정상적인 클라이언트의 연결이 가능하게 되는 이점이 있다. The present invention compares the Content-Length transmitted in the HTTP POST connection request between the client and the web server with the actual data size, and determines that the value is less than the threshold. If the server's availability becomes less than the set threshold, it determines that the Slow HTTP POST DoS attack has started and protects the main server by forcibly terminating suspicious connection information and blocking new suspicious connection information for a certain period of time. As a result, the normal availability of the server is ensured, so that other normal clients can connect.

도 1은 본 발명의 일실시예에 따른 Slow HTTP POST DoS 공격 탐지장치에 대한 사용상태를 보인 도면.
도 2는 본 발명에 적용되는 일실시예의 리버스프록시서버를 보인 블록도. 1 is a view showing a state of use for the Slow HTTP POST DoS attack detection apparatus according to an embodiment of the present invention.
Figure 2 is a block diagram showing a reverse proxy server of one embodiment applied to the present invention.

이하, 첨부된 도면을 참조하여 본 발명에 대하여 자세히 살펴본다. Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1에 도시된 바와 같이, 본 발명의 기본개념은 메인서버(100)에 클라이언트PC가 HTTP 프로토콜을 이용한 POST 메소드로 연결되는 경우 클라이언트PC와 메인서버(100) 간의 모든 통신 패킷을 모니터링하는 리버스프록시서버(200)를 포함한다. 그리고, 메인서버(100)가 설정된 가용성임계치 이상으로 운영되면 메인서버(100)에 HTTP POST 메소드로 연결된 클라이언트PC의 연결을 리버스프록시서버(200)로 우회시키고, 리버스프록시서버(200)에서 우회된 클라이언트PC에서 전송되는 컨텐트렝스와 실제데이터크기를 제공받는다. 그 후, 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 이상의 정상인 경우에만 클라이언트PC에서 전송된 정보를 메인서버(100)로 제공하게 된다. 이때, 리버스프록시서버(200)는 클라이언트PC가 HTTP POST 메소드로 메인서버(100)에 연결되면 평상시에 메인서버(100)에 연결되는 클라이언트PC의 IP, 포트정보 컨텐트렝스, 실제 전송된 데이터크기 등에 대한 정보를 모니터링하고, 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 위험 PC로 분류하여 저장하면서 관리하고, 메인서버(100)가 설정된 가용성임계치 이상이면 우선적으로 위험 PC의 연결을 차단하는 것이 바람직하다. 이러한, 컨텐트렝스는 http header에 붙는 정보이고, 컨텐트렝스에는 전송되는 데이터의 크기정보가 포함되어 있다.As shown in FIG. 1, the basic concept of the present invention is a reverse proxy for monitoring all communication packets between a client PC and a main server 100 when the client PC is connected to the main server 100 by a POST method using the HTTP protocol. Server 200 is included. And, if the main server 100 operates above the set availability threshold, the connection of the client PC connected to the main server 100 by the HTTP POST method is bypassed to the reverse proxy server 200, and bypassed from the reverse proxy server 200 It receives the content length and the actual data size transmitted from the client PC. Thereafter, the data transmitted from the client PC is provided to the main server 100 only when the data size included in the content length is compared with the actual data size. At this time, the reverse proxy server 200 when the client PC is connected to the main server 100 by the HTTP POST method, the IP of the client PC normally connected to the main server 100, the content of the port information, the size of the data actually transmitted, etc. It monitors the information on the data, compares the data size included in the content length with the actual data size, manages and stores them as dangerous PCs, and if the main server 100 is above the set availability threshold, it blocks the connection of the dangerous PCs first. It is preferable. The content length is information attached to an http header, and the content length includes size information of transmitted data.

도 2에 도시된 바와 같이, 리버스프록시서버(200)는 Slow HTTP POST DoS공격 타이머부(210), POST 연결확인부(220), 접속정보 모니터링부(230), 위험 접속정보 분류부(240), 메인서버 가용성임계치설정부(250), 메인서버 가용성확인부(260), Slow HTTP POST Dos 공격판단부(270), 위험 접속정보 차단부(280), 신규 접속정보 확인부(290), 신규 접속정보 처리부(300)를 포함한다. As shown in FIG. 2, the reverse proxy server 200 includes a slow HTTP POST DoS attack timer 210, a POST connection checker 220, a connection information monitor 230, and a dangerous access information classifier 240. , Main server availability threshold setting unit 250, main server availability checking unit 260, Slow HTTP POST Dos attack determination unit 270, dangerous access information blocking unit 280, new access information confirmation unit 290, new The connection information processor 300 is included.

Slow HTTP POST DoS공격 타이머부(210)는 Slow HTTP POST Dos 공격으로 판단되면 메인서버에 대한 의심스러운 연결 정보들을 종료시키기 위해 사용될 시간값 설정한다. 이러한 Slow HTTP POST DoS공격 타이머부(210)에 의해서 설정된 시간동안 메인서버(100)로 연결되는 POST 메소드 연결을 제한하게 된다.The slow HTTP POST DoS attack timer unit 210 sets a time value to be used to terminate suspicious connection information on the main server if it is determined that the slow HTTP POST Dos attack. The Slow HTTP POST DoS attack timer 210 limits the POST method connection to the main server 100 for the time set by the timer.

POST 연결확인부(220)는 메인서버(100)와 클라이언트PC(10) 간 연결 요청시 HTTP POST 메소드를 이용한 연결인지를 확인한다. POST connection confirmation unit 220 checks whether the connection using the HTTP POST method when the connection request between the main server 100 and the client PC (10).

접속정보 모니터링부(230)는 POST 연결확인부(220)에 의해서 POST 메소드 연결로 확인되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 모니터링한다. 이때, 접속정보 모니터링부(230)는 POST 메소드가 아닌 연결은 메인서버(100)로 직접 포워드하고, POST 메소드 연결된 경우에만 모니터링 확인하게 된다. When the connection information monitoring unit 230 confirms the POST method connection by the POST connection confirmation unit 220, the connection information monitoring unit 230 monitors information on the corresponding IP and port 110 information, content length and actual data size. In this case, the connection information monitoring unit 230 forwards the connection, not the POST method, directly to the main server 100, and checks the monitoring only when the POST method is connected.

위험 접속정보 분류부(240)는 접속정보 모니터링부(230)에 의한 모니터링된 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 크기보다 작은 경우 해당 접속정보를 위험 접속정보로 분류하여 저장한다. 이때, 기준은 실제 전송된 데이터크기가 컨텐츠렝스에 포함된 데이터크기의 80% 등으로 설정할 수 있다. 예를 들어, 클라이언트PC(10)에서 전송되는 컨텐트렝스에 포함된 데이터크기가 1,000KB일 때, 실제로 전송된 데이터크기가 800KB보다 미만인지 확인한다. The dangerous access information classifying unit 240 compares the data size included in the monitored content length by the access information monitoring unit 230 with the actual data size and stores the corresponding access information as dangerous access information when it is smaller than the reference size. do. In this case, the reference may be set to 80% of the data size actually transmitted data size included in the content length. For example, when the data size included in the content length transmitted from the client PC 10 is 1,000 KB, it is checked whether the data size actually transmitted is less than 800 KB.

메인서버 가용성임계치설정부(250)는 메인서버(100)에 대한 가용성임계치를 설정한다. 이때, 가용성임계치는 메인서버(100)의 처리허용 용량의 80%~90% 등으로 설정할 수 있다. The main server availability threshold setting unit 250 sets the availability threshold for the main server 100. At this time, the availability threshold may be set to 80% to 90% of the processing allowable capacity of the main server 100, and the like.

메인서버 가용성확인부(260)는 메인서버(100)의 가용성을 확인한다.The main server availability checking unit 260 checks the availability of the main server 100.

Slow HTTP POST Dos 공격판단부(270)는 메인서버 가용성확인부(260)를 통해 확인된 메인서버(100)의 실시간 가용성이 기 설정된 가용성임계치 이상이면 Slow HTTP POST Dos 공격으로 판단한다. 즉, 메인서버(100)에 접속되는 클라이언트PC(10)들이 처리허용 용량의 80%~90% 이상으로 연결되면 Dos 공격으로 판단한다. The slow HTTP POST Dos attack determining unit 270 determines that the real-time availability of the main server 100 confirmed through the main server availability checking unit 260 is a Slow HTTP POST Dos attack if it is higher than or equal to a predetermined availability threshold. That is, when the client PCs 10 connected to the main server 100 are connected to 80% or more than 90% of the allowable capacity, it is determined as a Dos attack.

위험 접속정보 차단부(280)는 Slow HTTP POST Dos 공격판단부(270)에 의해서 Slow HTTP POST DoS 공격으로 판단되면 메인서버(100)에 연결된 접속정보 중 위험 접속정보 분류부(240)에 저장된 접속정보의 연결을 모두 종료시킨다. 이에 따라 평상시에 접속정보 모니터링부(230)에 의한 모니터링 결과에 의해서 실시간으로 Slow HTTP POST Dos 공격이 의심되는 접속들을 우선으로부터 차단할 수 있게 된다.If the dangerous access information blocking unit 280 is determined as a Slow HTTP POST DoS attack by the slow HTTP POST Dos attack determination unit 270, the access stored in the dangerous access information classification unit 240 among the access information connected to the main server 100 is included. Terminate all connection of information. Accordingly, it is possible to block the connection suspected of a Slow HTTP POST Dos attack from the priority in real time by the monitoring result by the access information monitoring unit 230 at normal times.

신규 접속정보 확인부(290)는 Slow HTTP POST DoS공격 타이머부(210)에서 설정된 일정시간 동안 메인서버로 새로운 POST 메소드 연결이 요청되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 제공받아 임시 저장한다. The new connection information check unit 290 is requested to connect to the main server for a predetermined time set by the slow HTTP POST DoS attack timer unit 210, the corresponding IP and port 110 information, content length and actual data size It is provided with information about the temporary storage.

신규 접속정보 처리부(300)는 신규 접속정보 확인부(290)에 의해서 임시 저장된 컨텐트렝스에 포함된 데이터크기와 전송된 실제데이터크기를 비교하여 실제데이터크기가 기준이상이면 정상 접속으로 판단하여 임시 저장된 접속정보들을 메인서버(100)로 제공하고, 실제데이터크기가 기준보다 작은 경우 해당 접속 정보를 바로 연결 종료시킨다. 이러한 신규 접속정보 처리부(300)에 의해서 Slow HTTP POST DoS공격 이후에 새롭게 메인서버로 접속되는 POST 메소드 연결에 대한 실제데이터 크기를 확인하기 때문에 신규 접속정보에 의해서 발생되는 Slow HTTP POST Dos 공격이 의심되는 접속들도 차단할 수 있게 된다.The new access information processing unit 300 compares the data size included in the content length temporarily stored by the new access information checking unit 290 with the actual data size transmitted, and determines that the access is normal if the actual data size is larger than the reference value. Providing the access information to the main server 100, if the actual data size is smaller than the reference, the connection information is immediately terminated. Since the new access information processing unit 300 checks the actual data size of the POST method connection newly connected to the main server after the Slow HTTP POST DoS attack, the Slow HTTP POST Dos attack caused by the new access information is suspected. You can also block connections.

이와 같이, 본 발명에 의하면 메인서버(100)가 가용성임계치에 도달하기 전이 평상시에는 메인서버(100)를 공격하는 클라이언트PC(10)와 메인서버(100)를 공격하지 않는 클라이언트PC(10)의 연결된 상태가 유지될 수 있지만, 리버스프록시서버(200)의 모니터링에 의해서 Slow HTTP POST DoS 공격을 시도하는 위험 접속정보를 관리할 수 있게 된다. As described above, according to the present invention, the client PC 10 that attacks the main server 100 and the client PC 10 that does not attack the main server 100 before the main server 100 reaches the availability threshold. The connection state may be maintained, but by monitoring the reverse proxy server 200, it is possible to manage dangerous access information that attempts a Slow HTTP POST DoS attack.

이러한 상태에서, 많은 수의 클라이언트PC(10)들이 Slow HTTP POST DoS 공격을 시도하여 메인서버(100)가 가용성임계치에 도달하면 실시간으로 메인서버(100)에 연결된 것 중에서 위험 접속정보로 등록된 클라이언트PC의 연결을 차단하게 된다. 그리고, 새롭게 메인서버로 연결되더라도 리버스프록시서버(200)에서 클라이언트PC에서 전송되는 컨텐트렝스 및 실제데이터크기를 확인하고 기준 미만이면 Slow HTTP POST DoS 공격으로 판단하여 2차적으로 차단하고, 기준 이상의 정상인 경우에만 해당 데이터를 메인서버(100)로 제공하여 안전하게 Slow HTTP POST DoS 공격으로부터 메인서버를 보호할 수 있게 된다. In this state, when a large number of client PCs 10 attempts a Slow HTTP POST DoS attack and the main server 100 reaches the availability threshold, the client registered as dangerous access information among the ones connected to the main server 100 in real time. The PC will be disconnected. And, even if newly connected to the main server, the reverse proxy server 200 checks the content length and the actual data size transmitted from the client PC, and if it is less than the threshold, judging it as a Slow HTTP POST DoS attack and blocking the secondary, if the threshold is normal or higher. Only by providing the data to the main server 100, it is possible to safely protect the main server from the Slow HTTP POST DoS attack.

이와 같이, 본 발명은 클라이언트PC에서 전송되는 컨텐트렝스에 포함된 데이터크기와 실제데이터크기에 비교하여 서비스 거부 공격이라 불리는 Slow HTTP POST DoS 공격으로부터 메인서버를 보호할 수 있으므로, 슬로우 에이치티티피 포스트 도스 공격 탐지장치에 적용되어 널리 사용될 수 있는 매우 유용한 발명이라 할 수 있다. As described above, the present invention can protect the main server from a slow HTTP POST DoS attack called a denial of service attack compared to the data size and the actual data size included in the content length transmitted from the client PC. It is a very useful invention that can be widely applied to the attack detection device.

본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의의 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.Those skilled in the art will appreciate that the present invention can be embodied in other specific forms without changing the technical spirit or essential features thereof. Therefore, the embodiments described above are to be understood as illustrative and not restrictive in all respects, and the scope of the present invention is indicated by the following claims rather than the detailed description, and the meaning and scope of the claims and their All changes or modifications derived from equivalent concepts should be construed as being included in the scope of the present invention.

10 : 클라이언트PC
100 : 메인서버
200 : 리버스프록시서버
210 : Slow HTTP POST DoS공격 타이머부
220 : POST 연결확인부
230 : 접속정보 모니터링부
240 : 위험 접속정보 분류부
250 : 메인서버 가용성임계치설정부
260 : 메인서버 가용성확인부
270 : Slow HTTP POST Dos 공격판단부
280 : 위험 접속정보 차단부
290 : 신규 접속정보 확인부
300 : 신규 접속정보 처리부10: Client PC
100: main server
200: reverse proxy server
210: Slow HTTP POST DoS attack timer
220: POST connection check
230: access information monitoring unit
240: dangerous access information classification unit
250: main server availability threshold setting unit
260: main server availability check
270: Slow HTTP POST Dos attack unit
280: dangerous access information blocking unit
290: new connection information confirmation unit
300: new connection information processing unit

Claims (3)

메인서버(100)에 클라이언트PC가 HTTP 프로토콜을 이용한 POST 메소드로 연결되는 경우 클라이언트PC와 메인서버(100) 간의 모든 통신 패킷을 모니터링하여 Slow HTTP POST DoS 공격이라 의심되는 위험 접속정보의 목록을 확인하는 리버스프록시서버(200)를 포함하고, 메인서버(100)가 설정된 가용성임계치 이상으로 운영되면 메인서버(100)에 실시간으로 연결된 것 중에서 위험 접속정보에 해당되는 연결을 차단하고, 새롭게 메인서버(100)로 연결되는 것은 리버스프록시서버(200)에서 클라이언트PC에서 전송되는 컨텐트렝스와 실제데이터크기를 제공받고, 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 이상의 정상인 경우에만 클라이언트PC에서 전송된 정보를 메인서버(100)로 제공하여 Slow HTTP POST DoS 공격으로부터 메인서버를 보호하는 것을 특징으로 하는 Slow HTTP POST DoS 공격 탐지장치.
When the client PC is connected to the main server 100 by the POST method using the HTTP protocol, all communication packets between the client PC and the main server 100 are monitored to check a list of dangerous access information suspected of a slow HTTP POST DoS attack. Including a reverse proxy server 200, when the main server 100 is operated above the set availability threshold, the connection corresponding to the dangerous access information among those connected to the main server 100 in real time, and newly the main server 100 ) Is provided with the content length and the actual data size transmitted from the client PC in the reverse proxy server 200, and is transmitted from the client PC only when the data size and the actual data size included in the content length are normal or higher. It provides special information to the main server 100 to protect the main server from the slow HTTP POST DoS attack. Slow HTTP POST DoS attack detection apparatus of.
청구항 1에 있어서, 리버스프록시서버(200)는
Slow HTTP POST Dos 공격으로 판단되면 메인서버에 대한 의심스러운 연결 정보들을 종료시키기 위해 사용될 시간값 설정하는 Slow HTTP POST DoS공격 타이머부(210)와;
메인서버(100)와 클라이언트PC(10) 간 연결 요청시 HTTP POST 메소드를 이용한 연결인지를 확인하는 POST 연결확인부(220)와;
POST 연결확인부(220)에 의해서 POST 메소드 연결로 확인되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 모니터링하는 접속정보 모니터링부(230)와;
접속정보 모니터링부(230)에 의한 모니터링된 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 크기보다 작은 경우 해당 접속정보를 위험 접속정보로 분류하여 저장하는 위험 접속정보 분류부(240)와;
메인서버(100)에 대한 가용성임계치를 설정하는 메인서버 가용성임계치설정부(250)와;
메인서버(100)의 가용성을 확인하는 메인서버 가용성확인부(260)와;
메인서버 가용성확인부(260)를 통해 확인된 메인서버(100)의 실시간 가용성이 기 설정된 가용성임계치 이상이면 Slow HTTP POST Dos 공격으로 판단하는 Slow HTTP POST Dos 공격판단부(270)와;
Slow HTTP POST Dos 공격판단부(270)에 의해서 Slow HTTP POST DoS 공격으로 판단되면 메인서버(100)에 연결된 접속정보 중 위험 접속정보 분류부(240)에 저장된 접속정보의 연결을 모두 종료시키는 위험 접속정보 차단부(280)와;
Slow HTTP POST DoS공격 타이머부(210)에서 설정된 일정시간 동안 메인서버로 새로운 POST 메소드 연결이 요청되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 제공받아 임시 저장하는 신규 접속정보 확인부(290)와;
신규 접속정보 확인부(290)에 의해서 임시 저장된 컨텐트렝스에 포함된 데이터크기와 전송된 실제데이터크기를 비교하여 실제데이터크기가 기준이상이면 정상 접속으로 판단하여 임시 저장된 접속정보들을 메인서버(100)로 제공하고, 실제데이터크기가 기준보다 작은 경우 해당 접속 정보를 바로 연결 종료시키는 신규 접속정보 처리부(300);를 포함하는 것을 특징으로 하는 Slow HTTP POST DoS 공격 탐지장치. The method of claim 1, the reverse proxy server 200
A Slow HTTP POST DoS attack timer 210 configured to set a time value to be used for terminating suspicious connection information to the main server if it is determined that the Slow HTTP POST Dos attack;
A POST connection confirmation unit 220 for confirming whether the connection is made using the HTTP POST method when the connection request between the main server 100 and the client PC 10 is performed;
A connection information monitoring unit 230 for monitoring information on the corresponding IP and port 110 information, content length, and actual data size when the connection is confirmed by the POST connection confirmation unit 220;
The risk access information classification unit 240 classifies and stores the access information as dangerous access information when the access information monitoring unit 230 compares the data size included in the monitored content length with the actual data size and is smaller than the reference size. Wow;
A main server availability threshold setting unit 250 for setting an availability threshold for the main server 100;
A main server availability checking unit 260 for checking availability of the main server 100;
A slow HTTP POST Dos attack determination unit 270 which determines that a slow HTTP POST Dos attack is obtained when the real-time availability of the main server 100 confirmed through the main server availability checking unit 260 is greater than or equal to a predetermined availability threshold;
If the slow HTTP POST Dos attack determination unit 270 is determined to be a slow HTTP POST DoS attack risk connection to terminate all connections of the access information stored in the dangerous access information classification unit 240 of the connection information connected to the main server 100 An information blocking unit 280;
Slow HTTP POST When the new POST method connection request is made to the main server for a certain time set by the DoS attack timer unit 210, a new information is temporarily stored by receiving information on the corresponding IP and port 110 information, content length and actual data size. A connection information checking unit 290;
The new access information checking unit 290 compares the data size included in the temporarily stored content length with the actual data size transmitted, and determines the normal access if the actual data size is larger than the reference. And a new access information processing unit (300) for immediately terminating the connection information if the actual data size is smaller than the reference; Slow HTTP POST DoS attack detection device comprising a. 청구항 2에 있어서, 속정보 모니터링부(230)는 POST 메소드가 아닌 연결은 메인서버(100)로 직접 포워드하고, POST 메소드 연결된 경우에만 모니터링 확인하는 것을 특징으로 하는 Slow HTTP POST DoS 공격 탐지장치.
The slow HTTP POST DoS attack detection apparatus according to claim 2, wherein the fast information monitoring unit 230 forwards the connection other than the POST method directly to the main server 100, and monitors only when the POST method is connected.
KR1020180083631A 2018-07-18 2018-07-18 Apparatus for detecting Slow HTTP POST DoS Attack KR102152395B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180083631A KR102152395B1 (en) 2018-07-18 2018-07-18 Apparatus for detecting Slow HTTP POST DoS Attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180083631A KR102152395B1 (en) 2018-07-18 2018-07-18 Apparatus for detecting Slow HTTP POST DoS Attack

Publications (2)

Publication Number Publication Date
KR20200009366A true KR20200009366A (en) 2020-01-30
KR102152395B1 KR102152395B1 (en) 2020-09-04

Family

ID=69321547

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180083631A KR102152395B1 (en) 2018-07-18 2018-07-18 Apparatus for detecting Slow HTTP POST DoS Attack

Country Status (1)

Country Link
KR (1) KR102152395B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111311912B (en) * 2020-02-25 2021-08-24 北京天融信网络安全技术有限公司 Internet of vehicles detection data determination method and device and electronic equipment

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120067580A (en) * 2010-12-16 2012-06-26 한국인터넷진흥원 Method and apparatus for detecting and filtering ddos attack based on working time
KR20130017333A (en) * 2011-08-10 2013-02-20 한국전자통신연구원 Attack decision system of slow distributed denial of service based application layer and method of the same
KR20140088340A (en) 2013-01-02 2014-07-10 한국전자통신연구원 APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120067580A (en) * 2010-12-16 2012-06-26 한국인터넷진흥원 Method and apparatus for detecting and filtering ddos attack based on working time
KR20130017333A (en) * 2011-08-10 2013-02-20 한국전자통신연구원 Attack decision system of slow distributed denial of service based application layer and method of the same
KR20140088340A (en) 2013-01-02 2014-07-10 한국전자통신연구원 APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111311912B (en) * 2020-02-25 2021-08-24 北京天融信网络安全技术有限公司 Internet of vehicles detection data determination method and device and electronic equipment

Also Published As

Publication number Publication date
KR102152395B1 (en) 2020-09-04

Similar Documents

Publication Publication Date Title
TWI294726B (en)
US7478429B2 (en) Network overload detection and mitigation system and method
KR101424490B1 (en) Reverse access detecting system and method based on latency
JP5392507B2 (en) System for preventing interruption of normal user to web service for NAT network and control method thereof
KR20140022975A (en) Apparatus and method for controlling traffic based on captcha
JP2004507978A (en) System and method for countering denial of service attacks on network nodes
KR20110037645A (en) Apparatus and method for protecting ddos
CN114448706B (en) Single package authorization method and device, electronic equipment and storage medium
CN115065564A (en) Access control method based on zero trust mechanism
JP2004356915A (en) System and apparatus for information processing, program, and method for detecting abnormality of communication through communication network
KR20110059963A (en) Apparatus and method for blocking harmful traffic and system for blocking harmful traffic using the same
KR102152395B1 (en) Apparatus for detecting Slow HTTP POST DoS Attack
KR101109563B1 (en) Apparatus and method for guranteeing internet service
KR100983549B1 (en) System for defending client distribute denial of service and method therefor
GB2541969A (en) Mitigating multiple advanced evasion technique attacks
KR100728446B1 (en) Hardware based intruding protection device, system and method
KR100862321B1 (en) Method and apparatus for detecting and blocking network attack without attack signature
KR101449627B1 (en) Method and apparatus for detecting abnormal session
US11451584B2 (en) Detecting a remote exploitation attack
US8819252B1 (en) Transaction rate limiting
KR102401661B1 (en) SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF
KR101333305B1 (en) Apparatus and method for managing safe transmission control protocol connection
KR101231801B1 (en) Method and apparatus for protecting application layer in network
KR20180095155A (en) Origin management system for websocket server and method thereof
KR101291470B1 (en) Security Method using Apparatus for Management Unified Security

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant