KR20200009366A - Apparatus for detecting Slow HTTP POST DoS Attack - Google Patents
Apparatus for detecting Slow HTTP POST DoS Attack Download PDFInfo
- Publication number
- KR20200009366A KR20200009366A KR1020180083631A KR20180083631A KR20200009366A KR 20200009366 A KR20200009366 A KR 20200009366A KR 1020180083631 A KR1020180083631 A KR 1020180083631A KR 20180083631 A KR20180083631 A KR 20180083631A KR 20200009366 A KR20200009366 A KR 20200009366A
- Authority
- KR
- South Korea
- Prior art keywords
- main server
- dos attack
- information
- data size
- http post
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/2895—Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/28—Timers or timing mechanisms used in protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Environmental & Geological Engineering (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 클라이언트가 웹서버로 HTTP 프로토콜의 POST 메서드 연결 요청시 클라이언트PC에서 전송되는 데이터의 크기 정보인 컨텐트렝스(Content-Length)값과 실제 전송데이터 크기를 비교하여 임의의 임계치보다 작은 경우 해당 공격을 Slow HTTP DoS 공격이라고 판단하여 메인서버를 보호할 수 있는 Slow HTTP POST DoS 공격 탐지장치에 관한 것이다. The present invention compares the Content-Length value, which is the size information of the data transmitted from the client PC, when the client requests a POST method connection of the HTTP protocol to the web server, and compares the size with the actual transmission data size. Detects a Slow HTTP DoS attack and relates to a Slow HTTP POST DoS attack detection device that can protect the main server.
일반적으로, 서비스 거부(Denial of Service: DoS) 공격은 악의적인 목적을 가진 공격자가 분산 배치된 다수의 감염된 Bot(PC)을 이용하여 일시적으로 특정 사이트를 공격하여 일시적으로 서비스를 마비시키는 공격으로 특정 사이트의 가용성을 파괴하는 대표적인 사이버 공격 중 하나이다. DoS 공격은 OSI 7 layer상 응용계층(application level)에 해당하는 공격과 전송계층(transport level)에 해당하는 공격으로 나눌 수 있다.In general, denial of service (DoS) attacks are attacks in which a malicious attacker temporarily attacks a specific site by using a large number of infected Bots (PCs) distributed and temporarily paralyzed the service. It is one of the representative cyber attacks that destroys the availability of the site. The DoS attack can be divided into an attack corresponding to an application layer on an OSI 7 layer and an attack corresponding to a transport level.
여기서, 슬로우 에이치티티피 포스트 도스(Slow HTTP POST DoS) 공격은 HTTP 프로토콜의 특징을 이용한 공격으로 다른 응용 계층을 대상으로 한 DoS 공격과 마찬가지로 정상적인 연결요청을 거쳐 진행되는 공격이기 때문에 트래픽 분석이나 헤더의 구조적인 문제점 등으로 공격을 방어하기 어렵다. Here, the slow HTTP POST DoS attack is an attack using the characteristics of the HTTP protocol. As a DoS attack targeting other application layers, the slow HTTP POST DoS attack is performed through a normal connection request. It is difficult to defend against attacks due to structural problems.
이러한 공격의 특징은 컨텐트렝스를 크게 설정한 후에 실제 전송시에는 소량의 데이터를 오랜 시간동안 아주 천천히 전송하는 것이다. 여기서, 컨텐트렝스(Content-Length)에는 전송될 데이터의 크기가 포함되어 있다. The characteristic of such an attack is that after setting a large content length, a small amount of data is transmitted very slowly for a long time in actual transmission. Here, the content length includes the size of data to be transmitted.
따라서, 서버는 컨텐트렝스를 통해 전송될 데이터의 크기를 확인한 후에 컨텐트렝스만큼의 실제데이터가 전송될 때까지 연결을 유지하게 되므로, 서버의 가용성이 떨어지게 되어 다른 정상적인 클라이언트PC의 연결을 불가능하게 만드는 문제점이 있다. Therefore, after checking the size of the data to be transmitted through the content length, the server maintains the connection until the actual data as much as the content length is transmitted. Therefore, the availability of the server is reduced, which makes other normal client PCs impossible to connect. There is this.
본 발명이 해결하고자 하는 과제는, 클라이언트가 웹서버로 HTTP 프로토콜의 POST 메서드 연결 요청시 클라이언트PC에서 전송되는 데이터의 크기 정보인 컨텐트렝스(Content-Length)값과 실제 전송데이터 크기를 비교하여 임의의 임계치보다 작은 경우 해당 공격을 Slow HTTP DoS 공격이라고 판단하여 메인서버를 보호할 수 있는 Slow HTTP POST DoS 공격 탐지장치를 제공하고자 하는 것이다. The problem to be solved by the present invention is that the client compares the content-length value, which is the size information of the data transmitted from the client PC, when the client requests a POST method connection of the HTTP protocol to the web server, and compares the data with the actual size. If it is smaller than the threshold, the attack is considered to be a Slow HTTP DoS attack, and it is intended to provide a Slow HTTP POST DoS attack detection device that can protect the main server.
본 발명의 일실시예에 따른 Slow HTTP POST DoS 공격 탐지장치는 메인서버(100)에 클라이언트PC가 HTTP 프로토콜을 이용한 POST 메소드로 연결되는 경우 클라이언트PC와 메인서버(100) 간의 모든 통신 패킷을 모니터링하여 Slow HTTP POST DoS 공격이라 의심되는 위험 접속정보의 목록을 확인하는 리버스프록시서버(200)를 포함하고, 메인서버(100)가 설정된 가용성임계치 이상으로 운영되면 메인서버(100)에 실시간으로 연결된 것 중에서 위험 접속정보에 해당되는 연결을 차단하고, 새롭게 메인서버(100)로 연결되는 것은 리버스프록시서버(200)에서 클라이언트PC에서 전송되는 컨텐트렝스와 실제데이터크기를 제공받고, 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 이상의 정상인 경우에만 클라이언트PC에서 전송된 정보를 메인서버(100)로 제공하여 Slow HTTP POST DoS 공격을 방어하는 것을 특징으로 한다.Slow HTTP POST DoS attack detection apparatus according to an embodiment of the present invention monitors all communication packets between the client PC and the
바람직하게, 리버스프록시서버(200)는 Slow HTTP POST Dos 공격으로 판단되면 메인서버에 대한 의심스러운 연결 정보들을 종료시키기 위해 사용될 시간값 설정하는 Slow HTTP POST DoS공격 타이머부(210)와; 메인서버(100)와 클라이언트PC(10) 간 연결 요청시 HTTP POST 메소드를 이용한 연결인지를 확인하는 POST 연결확인부(220)와; POST 연결확인부(220)에 의해서 POST 메소드 연결로 확인되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 모니터링하는 접속정보 모니터링부(230)와; 접속정보 모니터링부(230)에 의한 모니터링된 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 크기보다 작은 경우 해당 접속정보를 위험 접속정보로 분류하여 저장하는 위험 접속정보 분류부(240)와; 메인서버(100)에 대한 가용성임계치를 설정하는 메인서버 가용성임계치설정부(250)와; 메인서버(100)의 가용성을 확인하는 메인서버 가용성확인부(260)와; 메인서버 가용성확인부(260)를 통해 확인된 메인서버(100)의 실시간 가용성이 기 설정된 가용성임계치 이상이면 Slow HTTP POST Dos 공격으로 판단하는 Slow HTTP POST Dos 공격판단부(270)와; Slow HTTP POST Dos 공격판단부(270)에 의해서 Slow HTTP POST DoS 공격으로 판단되면 메인서버(100)에 연결된 접속정보 중 위험 접속정보 분류부(240)에 저장된 접속정보의 연결을 모두 종료시키는 위험 접속정보 차단부(280)와; Slow HTTP POST DoS공격 타이머부(210)에서 설정된 일정시간 동안 메인서버로 새로운 POST 메소드 연결이 요청되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 제공받아 임시 저장하는 신규 접속정보 확인부(290)와; 신규 접속정보 확인부(290)에 의해서 임시 저장된 컨텐트렝스에 포함된 데이터크기와 전송된 실제데이터크기를 비교하여 실제데이터크기가 기준이상이면 정상 접속으로 판단하여 임시 저장된 접속정보들을 메인서버(100)로 제공하고, 실제데이터크기가 기준보다 작은 경우 해당 접속 정보를 바로 연결 종료시키는 신규 접속정보 처리부(300);를 포함하는 것을 특징으로 한다. Preferably, the
본 발명은 클라이언트와 웹 서버 간 HTTP POST 연결 요청시 전송되는 컨텐트렝스(Content-Length)를 실제데이터크기와 비교하여 그 값이 임계치보다 작은 경우 의심스러운 Slow HTTP POST DoS 공격이라고 판단 후 해당 연결 정보들을 저장관리하며 서버의 가용성이 설정된 임계치 이하보다 작아지는 경우 Slow HTTP POST DoS 공격이 시작되었음을 판단하고 저장관리하였던 의심스러운 연결 정보들을 강제 종료시키고 신규 의심스러운 연결정보를 일정시간동안 차단시킴으로써 메인서버를 보호할 수 있으므로, 서버의 정상적인 가용성이 확보되어 다른 정상적인 클라이언트의 연결이 가능하게 되는 이점이 있다. The present invention compares the Content-Length transmitted in the HTTP POST connection request between the client and the web server with the actual data size, and determines that the value is less than the threshold. If the server's availability becomes less than the set threshold, it determines that the Slow HTTP POST DoS attack has started and protects the main server by forcibly terminating suspicious connection information and blocking new suspicious connection information for a certain period of time. As a result, the normal availability of the server is ensured, so that other normal clients can connect.
도 1은 본 발명의 일실시예에 따른 Slow HTTP POST DoS 공격 탐지장치에 대한 사용상태를 보인 도면.
도 2는 본 발명에 적용되는 일실시예의 리버스프록시서버를 보인 블록도. 1 is a view showing a state of use for the Slow HTTP POST DoS attack detection apparatus according to an embodiment of the present invention.
Figure 2 is a block diagram showing a reverse proxy server of one embodiment applied to the present invention.
이하, 첨부된 도면을 참조하여 본 발명에 대하여 자세히 살펴본다. Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.
도 1에 도시된 바와 같이, 본 발명의 기본개념은 메인서버(100)에 클라이언트PC가 HTTP 프로토콜을 이용한 POST 메소드로 연결되는 경우 클라이언트PC와 메인서버(100) 간의 모든 통신 패킷을 모니터링하는 리버스프록시서버(200)를 포함한다. 그리고, 메인서버(100)가 설정된 가용성임계치 이상으로 운영되면 메인서버(100)에 HTTP POST 메소드로 연결된 클라이언트PC의 연결을 리버스프록시서버(200)로 우회시키고, 리버스프록시서버(200)에서 우회된 클라이언트PC에서 전송되는 컨텐트렝스와 실제데이터크기를 제공받는다. 그 후, 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 이상의 정상인 경우에만 클라이언트PC에서 전송된 정보를 메인서버(100)로 제공하게 된다. 이때, 리버스프록시서버(200)는 클라이언트PC가 HTTP POST 메소드로 메인서버(100)에 연결되면 평상시에 메인서버(100)에 연결되는 클라이언트PC의 IP, 포트정보 컨텐트렝스, 실제 전송된 데이터크기 등에 대한 정보를 모니터링하고, 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 위험 PC로 분류하여 저장하면서 관리하고, 메인서버(100)가 설정된 가용성임계치 이상이면 우선적으로 위험 PC의 연결을 차단하는 것이 바람직하다. 이러한, 컨텐트렝스는 http header에 붙는 정보이고, 컨텐트렝스에는 전송되는 데이터의 크기정보가 포함되어 있다.As shown in FIG. 1, the basic concept of the present invention is a reverse proxy for monitoring all communication packets between a client PC and a
도 2에 도시된 바와 같이, 리버스프록시서버(200)는 Slow HTTP POST DoS공격 타이머부(210), POST 연결확인부(220), 접속정보 모니터링부(230), 위험 접속정보 분류부(240), 메인서버 가용성임계치설정부(250), 메인서버 가용성확인부(260), Slow HTTP POST Dos 공격판단부(270), 위험 접속정보 차단부(280), 신규 접속정보 확인부(290), 신규 접속정보 처리부(300)를 포함한다. As shown in FIG. 2, the
Slow HTTP POST DoS공격 타이머부(210)는 Slow HTTP POST Dos 공격으로 판단되면 메인서버에 대한 의심스러운 연결 정보들을 종료시키기 위해 사용될 시간값 설정한다. 이러한 Slow HTTP POST DoS공격 타이머부(210)에 의해서 설정된 시간동안 메인서버(100)로 연결되는 POST 메소드 연결을 제한하게 된다.The slow HTTP POST DoS
POST 연결확인부(220)는 메인서버(100)와 클라이언트PC(10) 간 연결 요청시 HTTP POST 메소드를 이용한 연결인지를 확인한다. POST
접속정보 모니터링부(230)는 POST 연결확인부(220)에 의해서 POST 메소드 연결로 확인되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 모니터링한다. 이때, 접속정보 모니터링부(230)는 POST 메소드가 아닌 연결은 메인서버(100)로 직접 포워드하고, POST 메소드 연결된 경우에만 모니터링 확인하게 된다. When the connection
위험 접속정보 분류부(240)는 접속정보 모니터링부(230)에 의한 모니터링된 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 크기보다 작은 경우 해당 접속정보를 위험 접속정보로 분류하여 저장한다. 이때, 기준은 실제 전송된 데이터크기가 컨텐츠렝스에 포함된 데이터크기의 80% 등으로 설정할 수 있다. 예를 들어, 클라이언트PC(10)에서 전송되는 컨텐트렝스에 포함된 데이터크기가 1,000KB일 때, 실제로 전송된 데이터크기가 800KB보다 미만인지 확인한다. The dangerous access
메인서버 가용성임계치설정부(250)는 메인서버(100)에 대한 가용성임계치를 설정한다. 이때, 가용성임계치는 메인서버(100)의 처리허용 용량의 80%~90% 등으로 설정할 수 있다. The main server availability
메인서버 가용성확인부(260)는 메인서버(100)의 가용성을 확인한다.The main server
Slow HTTP POST Dos 공격판단부(270)는 메인서버 가용성확인부(260)를 통해 확인된 메인서버(100)의 실시간 가용성이 기 설정된 가용성임계치 이상이면 Slow HTTP POST Dos 공격으로 판단한다. 즉, 메인서버(100)에 접속되는 클라이언트PC(10)들이 처리허용 용량의 80%~90% 이상으로 연결되면 Dos 공격으로 판단한다. The slow HTTP POST Dos
위험 접속정보 차단부(280)는 Slow HTTP POST Dos 공격판단부(270)에 의해서 Slow HTTP POST DoS 공격으로 판단되면 메인서버(100)에 연결된 접속정보 중 위험 접속정보 분류부(240)에 저장된 접속정보의 연결을 모두 종료시킨다. 이에 따라 평상시에 접속정보 모니터링부(230)에 의한 모니터링 결과에 의해서 실시간으로 Slow HTTP POST Dos 공격이 의심되는 접속들을 우선으로부터 차단할 수 있게 된다.If the dangerous access
신규 접속정보 확인부(290)는 Slow HTTP POST DoS공격 타이머부(210)에서 설정된 일정시간 동안 메인서버로 새로운 POST 메소드 연결이 요청되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 제공받아 임시 저장한다. The new connection information check unit 290 is requested to connect to the main server for a predetermined time set by the slow HTTP POST DoS
신규 접속정보 처리부(300)는 신규 접속정보 확인부(290)에 의해서 임시 저장된 컨텐트렝스에 포함된 데이터크기와 전송된 실제데이터크기를 비교하여 실제데이터크기가 기준이상이면 정상 접속으로 판단하여 임시 저장된 접속정보들을 메인서버(100)로 제공하고, 실제데이터크기가 기준보다 작은 경우 해당 접속 정보를 바로 연결 종료시킨다. 이러한 신규 접속정보 처리부(300)에 의해서 Slow HTTP POST DoS공격 이후에 새롭게 메인서버로 접속되는 POST 메소드 연결에 대한 실제데이터 크기를 확인하기 때문에 신규 접속정보에 의해서 발생되는 Slow HTTP POST Dos 공격이 의심되는 접속들도 차단할 수 있게 된다.The new access
이와 같이, 본 발명에 의하면 메인서버(100)가 가용성임계치에 도달하기 전이 평상시에는 메인서버(100)를 공격하는 클라이언트PC(10)와 메인서버(100)를 공격하지 않는 클라이언트PC(10)의 연결된 상태가 유지될 수 있지만, 리버스프록시서버(200)의 모니터링에 의해서 Slow HTTP POST DoS 공격을 시도하는 위험 접속정보를 관리할 수 있게 된다. As described above, according to the present invention, the client PC 10 that attacks the
이러한 상태에서, 많은 수의 클라이언트PC(10)들이 Slow HTTP POST DoS 공격을 시도하여 메인서버(100)가 가용성임계치에 도달하면 실시간으로 메인서버(100)에 연결된 것 중에서 위험 접속정보로 등록된 클라이언트PC의 연결을 차단하게 된다. 그리고, 새롭게 메인서버로 연결되더라도 리버스프록시서버(200)에서 클라이언트PC에서 전송되는 컨텐트렝스 및 실제데이터크기를 확인하고 기준 미만이면 Slow HTTP POST DoS 공격으로 판단하여 2차적으로 차단하고, 기준 이상의 정상인 경우에만 해당 데이터를 메인서버(100)로 제공하여 안전하게 Slow HTTP POST DoS 공격으로부터 메인서버를 보호할 수 있게 된다. In this state, when a large number of
이와 같이, 본 발명은 클라이언트PC에서 전송되는 컨텐트렝스에 포함된 데이터크기와 실제데이터크기에 비교하여 서비스 거부 공격이라 불리는 Slow HTTP POST DoS 공격으로부터 메인서버를 보호할 수 있으므로, 슬로우 에이치티티피 포스트 도스 공격 탐지장치에 적용되어 널리 사용될 수 있는 매우 유용한 발명이라 할 수 있다. As described above, the present invention can protect the main server from a slow HTTP POST DoS attack called a denial of service attack compared to the data size and the actual data size included in the content length transmitted from the client PC. It is a very useful invention that can be widely applied to the attack detection device.
본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의의 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.Those skilled in the art will appreciate that the present invention can be embodied in other specific forms without changing the technical spirit or essential features thereof. Therefore, the embodiments described above are to be understood as illustrative and not restrictive in all respects, and the scope of the present invention is indicated by the following claims rather than the detailed description, and the meaning and scope of the claims and their All changes or modifications derived from equivalent concepts should be construed as being included in the scope of the present invention.
10 : 클라이언트PC
100 : 메인서버
200 : 리버스프록시서버
210 : Slow HTTP POST DoS공격 타이머부
220 : POST 연결확인부
230 : 접속정보 모니터링부
240 : 위험 접속정보 분류부
250 : 메인서버 가용성임계치설정부
260 : 메인서버 가용성확인부
270 : Slow HTTP POST Dos 공격판단부
280 : 위험 접속정보 차단부
290 : 신규 접속정보 확인부
300 : 신규 접속정보 처리부10: Client PC
100: main server
200: reverse proxy server
210: Slow HTTP POST DoS attack timer
220: POST connection check
230: access information monitoring unit
240: dangerous access information classification unit
250: main server availability threshold setting unit
260: main server availability check
270: Slow HTTP POST Dos attack unit
280: dangerous access information blocking unit
290: new connection information confirmation unit
300: new connection information processing unit
Claims (3)
When the client PC is connected to the main server 100 by the POST method using the HTTP protocol, all communication packets between the client PC and the main server 100 are monitored to check a list of dangerous access information suspected of a slow HTTP POST DoS attack. Including a reverse proxy server 200, when the main server 100 is operated above the set availability threshold, the connection corresponding to the dangerous access information among those connected to the main server 100 in real time, and newly the main server 100 ) Is provided with the content length and the actual data size transmitted from the client PC in the reverse proxy server 200, and is transmitted from the client PC only when the data size and the actual data size included in the content length are normal or higher. It provides special information to the main server 100 to protect the main server from the slow HTTP POST DoS attack. Slow HTTP POST DoS attack detection apparatus of.
Slow HTTP POST Dos 공격으로 판단되면 메인서버에 대한 의심스러운 연결 정보들을 종료시키기 위해 사용될 시간값 설정하는 Slow HTTP POST DoS공격 타이머부(210)와;
메인서버(100)와 클라이언트PC(10) 간 연결 요청시 HTTP POST 메소드를 이용한 연결인지를 확인하는 POST 연결확인부(220)와;
POST 연결확인부(220)에 의해서 POST 메소드 연결로 확인되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 모니터링하는 접속정보 모니터링부(230)와;
접속정보 모니터링부(230)에 의한 모니터링된 컨텐트렝스에 포함된 데이터크기와 실제데이터크기를 비교하여 기준 크기보다 작은 경우 해당 접속정보를 위험 접속정보로 분류하여 저장하는 위험 접속정보 분류부(240)와;
메인서버(100)에 대한 가용성임계치를 설정하는 메인서버 가용성임계치설정부(250)와;
메인서버(100)의 가용성을 확인하는 메인서버 가용성확인부(260)와;
메인서버 가용성확인부(260)를 통해 확인된 메인서버(100)의 실시간 가용성이 기 설정된 가용성임계치 이상이면 Slow HTTP POST Dos 공격으로 판단하는 Slow HTTP POST Dos 공격판단부(270)와;
Slow HTTP POST Dos 공격판단부(270)에 의해서 Slow HTTP POST DoS 공격으로 판단되면 메인서버(100)에 연결된 접속정보 중 위험 접속정보 분류부(240)에 저장된 접속정보의 연결을 모두 종료시키는 위험 접속정보 차단부(280)와;
Slow HTTP POST DoS공격 타이머부(210)에서 설정된 일정시간 동안 메인서버로 새로운 POST 메소드 연결이 요청되면 해당 IP 및 포트(110) 정보, 컨텐트렝스 및 실제데이터크기에 대한 정보를 제공받아 임시 저장하는 신규 접속정보 확인부(290)와;
신규 접속정보 확인부(290)에 의해서 임시 저장된 컨텐트렝스에 포함된 데이터크기와 전송된 실제데이터크기를 비교하여 실제데이터크기가 기준이상이면 정상 접속으로 판단하여 임시 저장된 접속정보들을 메인서버(100)로 제공하고, 실제데이터크기가 기준보다 작은 경우 해당 접속 정보를 바로 연결 종료시키는 신규 접속정보 처리부(300);를 포함하는 것을 특징으로 하는 Slow HTTP POST DoS 공격 탐지장치. The method of claim 1, the reverse proxy server 200
A Slow HTTP POST DoS attack timer 210 configured to set a time value to be used for terminating suspicious connection information to the main server if it is determined that the Slow HTTP POST Dos attack;
A POST connection confirmation unit 220 for confirming whether the connection is made using the HTTP POST method when the connection request between the main server 100 and the client PC 10 is performed;
A connection information monitoring unit 230 for monitoring information on the corresponding IP and port 110 information, content length, and actual data size when the connection is confirmed by the POST connection confirmation unit 220;
The risk access information classification unit 240 classifies and stores the access information as dangerous access information when the access information monitoring unit 230 compares the data size included in the monitored content length with the actual data size and is smaller than the reference size. Wow;
A main server availability threshold setting unit 250 for setting an availability threshold for the main server 100;
A main server availability checking unit 260 for checking availability of the main server 100;
A slow HTTP POST Dos attack determination unit 270 which determines that a slow HTTP POST Dos attack is obtained when the real-time availability of the main server 100 confirmed through the main server availability checking unit 260 is greater than or equal to a predetermined availability threshold;
If the slow HTTP POST Dos attack determination unit 270 is determined to be a slow HTTP POST DoS attack risk connection to terminate all connections of the access information stored in the dangerous access information classification unit 240 of the connection information connected to the main server 100 An information blocking unit 280;
Slow HTTP POST When the new POST method connection request is made to the main server for a certain time set by the DoS attack timer unit 210, a new information is temporarily stored by receiving information on the corresponding IP and port 110 information, content length and actual data size. A connection information checking unit 290;
The new access information checking unit 290 compares the data size included in the temporarily stored content length with the actual data size transmitted, and determines the normal access if the actual data size is larger than the reference. And a new access information processing unit (300) for immediately terminating the connection information if the actual data size is smaller than the reference; Slow HTTP POST DoS attack detection device comprising a.
The slow HTTP POST DoS attack detection apparatus according to claim 2, wherein the fast information monitoring unit 230 forwards the connection other than the POST method directly to the main server 100, and monitors only when the POST method is connected.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180083631A KR102152395B1 (en) | 2018-07-18 | 2018-07-18 | Apparatus for detecting Slow HTTP POST DoS Attack |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180083631A KR102152395B1 (en) | 2018-07-18 | 2018-07-18 | Apparatus for detecting Slow HTTP POST DoS Attack |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200009366A true KR20200009366A (en) | 2020-01-30 |
KR102152395B1 KR102152395B1 (en) | 2020-09-04 |
Family
ID=69321547
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180083631A KR102152395B1 (en) | 2018-07-18 | 2018-07-18 | Apparatus for detecting Slow HTTP POST DoS Attack |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102152395B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111311912B (en) * | 2020-02-25 | 2021-08-24 | 北京天融信网络安全技术有限公司 | Internet of vehicles detection data determination method and device and electronic equipment |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120067580A (en) * | 2010-12-16 | 2012-06-26 | 한국인터넷진흥원 | Method and apparatus for detecting and filtering ddos attack based on working time |
KR20130017333A (en) * | 2011-08-10 | 2013-02-20 | 한국전자통신연구원 | Attack decision system of slow distributed denial of service based application layer and method of the same |
KR20140088340A (en) | 2013-01-02 | 2014-07-10 | 한국전자통신연구원 | APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH |
-
2018
- 2018-07-18 KR KR1020180083631A patent/KR102152395B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120067580A (en) * | 2010-12-16 | 2012-06-26 | 한국인터넷진흥원 | Method and apparatus for detecting and filtering ddos attack based on working time |
KR20130017333A (en) * | 2011-08-10 | 2013-02-20 | 한국전자통신연구원 | Attack decision system of slow distributed denial of service based application layer and method of the same |
KR20140088340A (en) | 2013-01-02 | 2014-07-10 | 한국전자통신연구원 | APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111311912B (en) * | 2020-02-25 | 2021-08-24 | 北京天融信网络安全技术有限公司 | Internet of vehicles detection data determination method and device and electronic equipment |
Also Published As
Publication number | Publication date |
---|---|
KR102152395B1 (en) | 2020-09-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI294726B (en) | ||
US7478429B2 (en) | Network overload detection and mitigation system and method | |
KR101424490B1 (en) | Reverse access detecting system and method based on latency | |
JP5392507B2 (en) | System for preventing interruption of normal user to web service for NAT network and control method thereof | |
KR20140022975A (en) | Apparatus and method for controlling traffic based on captcha | |
JP2004507978A (en) | System and method for countering denial of service attacks on network nodes | |
KR20110037645A (en) | Apparatus and method for protecting ddos | |
CN114448706B (en) | Single package authorization method and device, electronic equipment and storage medium | |
CN115065564A (en) | Access control method based on zero trust mechanism | |
JP2004356915A (en) | System and apparatus for information processing, program, and method for detecting abnormality of communication through communication network | |
KR20110059963A (en) | Apparatus and method for blocking harmful traffic and system for blocking harmful traffic using the same | |
KR102152395B1 (en) | Apparatus for detecting Slow HTTP POST DoS Attack | |
KR101109563B1 (en) | Apparatus and method for guranteeing internet service | |
KR100983549B1 (en) | System for defending client distribute denial of service and method therefor | |
GB2541969A (en) | Mitigating multiple advanced evasion technique attacks | |
KR100728446B1 (en) | Hardware based intruding protection device, system and method | |
KR100862321B1 (en) | Method and apparatus for detecting and blocking network attack without attack signature | |
KR101449627B1 (en) | Method and apparatus for detecting abnormal session | |
US11451584B2 (en) | Detecting a remote exploitation attack | |
US8819252B1 (en) | Transaction rate limiting | |
KR102401661B1 (en) | SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF | |
KR101333305B1 (en) | Apparatus and method for managing safe transmission control protocol connection | |
KR101231801B1 (en) | Method and apparatus for protecting application layer in network | |
KR20180095155A (en) | Origin management system for websocket server and method thereof | |
KR101291470B1 (en) | Security Method using Apparatus for Management Unified Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |