KR20200061997A - Method of establishing tcp session for sdn-based network and sdn network thereof - Google Patents

Method of establishing tcp session for sdn-based network and sdn network thereof Download PDF

Info

Publication number
KR20200061997A
KR20200061997A KR1020180173587A KR20180173587A KR20200061997A KR 20200061997 A KR20200061997 A KR 20200061997A KR 1020180173587 A KR1020180173587 A KR 1020180173587A KR 20180173587 A KR20180173587 A KR 20180173587A KR 20200061997 A KR20200061997 A KR 20200061997A
Authority
KR
South Korea
Prior art keywords
packet
syn
sdn
sdn network
host
Prior art date
Application number
KR1020180173587A
Other languages
Korean (ko)
Other versions
KR102185588B1 (en
Inventor
박민호
안성원
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to PCT/KR2019/010909 priority Critical patent/WO2020111456A1/en
Publication of KR20200061997A publication Critical patent/KR20200061997A/en
Application granted granted Critical
Publication of KR102185588B1 publication Critical patent/KR102185588B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/28Flow control; Congestion control in relation to timing considerations
    • H04L47/283Flow control; Congestion control in relation to timing considerations in response to processing delays, e.g. caused by jitter or round trip time [RTT]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a method for generating a TCP session for a software defined networking (SDN) network which efficiently defends synchronization (SYN) flooding attacks and an SDN network applying the same. According to one embodiment of the present invention, a method for allowing a host and a server to generate a TCP session through the SDN network comprises the following steps of, by the SDN network: when receiving a first SYN packet from the host, waiting until a second SYN packet is received; when the second SYN packet is received, transmitting the second SYN packet to the server; receiving an SYN+ACK packet in response to the second SYN packet to transmit the SYN+ACK packet to the host; and when an ACK packet is received from the host in response to the SYN+ACK packet, transmitting the ACK packet to the server to generate the TCP session.

Description

SDN 네트워크의 TCP 세션 생성 방법 및 그 방법이 적용된 SDN 네트워크{METHOD OF ESTABLISHING TCP SESSION FOR SDN-BASED NETWORK AND SDN NETWORK THEREOF}METHOD OF ESTABLISHING TCP SESSION FOR SDN-BASED NETWORK AND SDN NETWORK THEREOF

본 발명은 SDN 네트워크의 TCP 세션 생성 방법 및 그 방법이 적용된 SDN 네트워크에 관한 것 이다. The present invention relates to a method for generating a TCP session in an SDN network and an SDN network to which the method is applied.

TCP SYN(Synchronization) 패킷은 송, 수신자간의 최초 TCP 연결 세션을 수립할 때 통신에 필요한 정보를 서로 동기화 하고 이후 통신을 진행한다. 현재 인터넷에서 사용하고 있는 3-way Handshake 방식은 SYN 패킷을 이용하여 TCP 세션을 연결하고 있다.The TCP SYN (Synchronization) packet synchronizes information necessary for communication when establishing the first TCP connection session between the sender and receiver, and then proceeds with communication. The 3-way handshake method currently used on the Internet uses a SYN packet to connect a TCP session.

이러한 SYN 패킷은 네트워크 통신에서 중요한 역할을 함과 동시에 SYN 패킷을 이용한 악의적인 공격 방식이 다양하게 존재하고 있다. 그 중에서도 Distribute Denial of Service(DDoS) 공격의 일종인 SYN Flooding 공격은 기존 네트워크에서 서버의 Half-Open 상태를 유지하게 하여 많은 자원을 낭비하게 만드는 공격이다. 따라서 SYN Flooding 공격을 방어하기 위해 많은 연구들이 진행 되었었다.While these SYN packets play an important role in network communication, there are various malicious attack methods using SYN packets. Among them, the SYN Flooding attack, which is a kind of Distribute Denial of Service (DDoS) attack, is an attack that wastes a lot of resources by maintaining the server's half-open state in the existing network. Therefore, many studies have been conducted to defend against SYN Flooding attacks.

보다 구체적으로, 도 1을 참조하면, SYN Flooding 공격은 공격자가 순간적으로 많은 양의 SYN 패킷을 전송하여 서버의 Half-open 상태를 유지하게 한다. 즉, SYN Flooding 공격 시 서버에 많은 양의 SYN 패킷이 도착하여 다음 SYN+ACK가 오기까지 대기하고 있음을 알 수 있다. 이러한 공격은 서버의 TCP 세션에 관한 자원을 지속적으로 사용하게 하여 다른 작업을 할 수 없게 하는 DDoS 공격의 일종의 공격이다. More specifically, referring to FIG. 1, the SYN Flooding attack allows an attacker to instantaneously transmit a large amount of SYN packets to maintain the server's half-open state. That is, it can be seen that a large amount of SYN packets arrive at the server during a SYN Flooding attack, and are waiting for the next SYN+ACK. This attack is a type of DDoS attack that continuously uses resources related to the server's TCP session to prevent other tasks from being performed.

하지만, SDN(Software Defined Network) 환경에서는 SYN Flooding 공격이 기존과 같이 서버의 자원고갈을 야기할 뿐만 아니라, Control Channel(Controller to Switch) 즉, SDN 스위치와 SDN 컨트롤러를 연결하는 채널의 혼잡을 야기하는 추가적인 문제를 발생시킨다. However, in a software defined network (SDN) environment, a SYN Flooding attack not only causes the server to run out of resources, but also causes congestion of a control channel (Controller to Switch), that is, a channel connecting the SDN switch and the SDN controller. It creates additional problems.

보다 구체적으로, 도 2를 참조하면, SDN 네트워크는 패킷이 발생할 경우 SDN 스위치에서 패킷을 전달해야 하기 때문에 SDN 컨트롤러와 제어 메시지를 추가적으로 주고받는다. 그로 인해, SDN 네트워크에 대하여 SYN Flooding 공격이 발생 시 해당 채널의 제어 메시지가 많이 발생하게 되어 채널의 혼잡도가 증가하게 되며, 그 결과, SDN 컨트롤러의 제어를 받아야 하는 SDN 스위치들이 SDN 컨트롤러와 연결이 불안정하게 되어 추가적인 문제점들도 발생할 수 있다. More specifically, referring to FIG. 2, the SDN network additionally exchanges control messages with the SDN controller because the SDN switch must forward the packet when a packet occurs. As a result, when a SYN Flooding attack occurs on the SDN network, a number of control messages of the corresponding channel are generated, thereby increasing the congestion of the channel. As a result, additional problems may occur.

따라서, SDN 환경에 적합하며, SYN Flooding 공격에 대한 방어 기법이 적용된 SDN 네트워크의 TCP 세션 생성 방법 및 그 방법이 적용된 SDN 네트워크에 대한 필요성이 대두되고 있다.Therefore, it is suitable for an SDN environment, and a need arises for a method for generating a TCP session of an SDN network to which a defense technique against a SYN Flooding attack is applied and an SDN network to which the method is applied.

(KR) 한국등록특허 제10-1665848호(KR) Korean Registered Patent No. 10-1665848

본 발명은 SDN 네트워크에 대하여 SYN Flooding 공격이 발생였하을 때, 이를 효율적으로 방어할 수 있는 SDN 네트워크의 TCP 세션 생성 방법 및 그 방법이 적용된 SDN 네트워크를 제공하고자 한다.The present invention is to provide an SDN network TCP session generation method and an SDN network to which the method is applied when an SYN Flooding attack occurs against an SDN network, which can effectively defend it.

본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The technical problems of the present invention are not limited to the technical problems mentioned above, and other technical problems not mentioned will be clearly understood by a person skilled in the art from the following description.

상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 SDN(software defined networking) 네트워크를 통해 호스트와 서버가 TCP 세션을 생성하는 방법은 상기 SDN 네트워크가 상기 호스트로부터 제1 SYN 패킷을 수신하면, 제2 SYN 패킷을 수신할 때까지 대기하는 단계; 상기 SDN 네트워크가 상기 제2 SYN 패킷을 수신하면, 상기 제2 SYN 패킷을 상기 서버에게 전송하는 단계; 상기 SDN 네트워크가 상기 서버로부터 상기 제2 SYN 패킷에 대한 응답으로 SYN+ACK 패킷을 수신하여, 상기 호스트에게 전송하는 단계; 및 상기 SDN 네트워크가 상기 호스트로부터 상기 SYN+ACK 패킷에 대한 응답으로 ACK 패킷을 수신하면, 상기 ACK 패킷을 상기 서버에게 전송하여 TCP 세션을 생성하는 단계를 포함한다.A method of creating a TCP session between a host and a server through a software defined networking (SDN) network according to an embodiment of the present invention for solving the above problems is when the SDN network receives a first SYN packet from the host, 2 waiting for receiving a SYN packet; When the SDN network receives the second SYN packet, transmitting the second SYN packet to the server; Receiving, by the SDN network, a SYN+ACK packet in response to the second SYN packet from the server and transmitting it to the host; And when the SDN network receives an ACK packet in response to the SYN+ACK packet from the host, transmitting the ACK packet to the server to create a TCP session.

바람직하게는, 상기 SDN 네트워크가 상기 제2 SYN 패킷을 수신하지 못하면, 상기 호스트와 상기 서버 간의 TCP 세션 생성 과정을 종료시킬 수 있다.Preferably, if the SDN network does not receive the second SYN packet, the TCP session creation process between the host and the server may be terminated.

바람직하게는, 상기 TCP 세션을 생성하는 단계는 상기 SYN+ACK 패킷을 전송한 이후 소정의 기준 시간 내에 상기 ACK 패킷을 수신하면, 상기 TCP 세션을 생성할 수 있다.Preferably, in the step of creating the TCP session, if the ACK packet is received within a predetermined reference time after transmitting the SYN+ACK packet, the TCP session may be created.

바람직하게는, 상기 기준 시간은 상기 제1 SYN 패킷을 수신한 이후 상기 제2 SYN 패킷을 수신할 때까지 소요되는 시간일 수 있다.Preferably, the reference time may be a time taken from receiving the first SYN packet to receiving the second SYN packet.

바람직하게는, 상기 제2 SYN 패킷을 상기 서버에게 전송하는 단계의 이후에, 상기 SDN 네트워크가 상기 호스트로부터 제3 SYN 패킷을 수신하면, 상기 제3 SYN 패킷을 폐기하는 단계를 더 포함할 수 있다.Preferably, after the step of transmitting the second SYN packet to the server, when the SDN network receives a third SYN packet from the host, the method may further include discarding the third SYN packet. .

바람직하게는, 상기 SDN 네트워크는 상기 수신된 패킷 각각에 대하여, 해당 패킷의 수신 시각, RTT 타임아웃, 플래그 상태, 소스 IP에 관한 정보를 재전송 목록(retransmission list)에 기록하고, 상기 재전송 목록으로부터 상기 수신된 패킷에 관한 정보를 획득할 수 있다.Preferably, the SDN network records, for each of the received packets, information regarding the reception time, RTT timeout, flag status, and source IP of the corresponding packet in a retransmission list, and from the retransmission list, Information regarding the received packet can be obtained.

또한, 상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 SDN 스위치 및 SDN 컨트롤러를 포함하는 SDN 네트워크에서, 상기 SDN 스위치는 호스트로부터 제1 SYN 패킷을 수신하면, 제2 SYN 패킷을 수신할 때까지 대기하고, 상기 제2 SYN 패킷을 수신하면, 상기 제2 SYN 패킷을 서버에게 전송하고, 상기 서버로부터 상기 제2 SYN 패킷에 대한 응답으로 SYN+ACK 패킷을 수신하여, 상기 호스트에게 전송하고, 상기 호스트로부터 상기 SYN+ACK 패킷에 대한 응답으로 ACK 패킷을 수신하면, 상기 ACK 패킷을 상기 서버에게 전송하여 TCP 세션을 생성한다.In addition, in the SDN network including the SDN switch and the SDN controller according to an embodiment of the present invention for solving the above problem, when the SDN switch receives the first SYN packet from the host, when receiving the second SYN packet Wait until, and when the second SYN packet is received, transmits the second SYN packet to a server, receives a SYN+ACK packet in response to the second SYN packet from the server, and transmits it to the host, When an ACK packet is received in response to the SYN+ACK packet from the host, the ACK packet is transmitted to the server to create a TCP session.

바람직하게는, 상기 SDN 스위치는 상기 제2 SYN 패킷을 수신하지 못하면, 상기 호스트와 상기 서버 간의 TCP 세션 생성 과정을 종료시킬 수 있다.Preferably, when the SDN switch does not receive the second SYN packet, the TCP session creation process between the host and the server may be terminated.

바람직하게는, 상기 SDN 스위치는 상기 SYN+ACK 패킷을 전송한 이후 소정의 기준 시간 내에 상기 ACK 패킷을 수신하면, 상기 TCP 세션을 생성할 수 있다.Preferably, the SDN switch may create the TCP session when the ACK packet is received within a predetermined reference time after transmitting the SYN+ACK packet.

바람직하게는, 상기 기준 시간은 상기 제1 SYN 패킷을 수신한 이후 상기 제2 SYN 패킷을 수신할 때까지 소요되는 시간일 수 있다.Preferably, the reference time may be a time taken from receiving the first SYN packet to receiving the second SYN packet.

바람직하게는, 상기 SDN 스위치는 상기 제2 SYN 패킷을 상기 서버에게 전송한 이후에, 상기 호스트로부터 제3 SYN 패킷을 수신하면, 상기 제3 SYN 패킷을 폐기할 수 있다.Preferably, the SDN switch may discard the third SYN packet when the third SYN packet is received from the host after the second SYN packet is transmitted to the server.

바람직하게는, 상기 SDN 스위치는 상기 수신된 패킷 각각에 대하여, 해당 패킷의 수신 시각, RTT 타임아웃, 플래그 상태, 소스 IP에 관한 정보를 재전송 목록(retransmission list)에 기록하고, 상기 재전송 목록으로부터 상기 수신된 패킷에 관한 정보를 획득할 수 있다.Preferably, the SDN switch records, for each of the received packets, information regarding the reception time, RTT timeout, flag status, and source IP of the corresponding packet in a retransmission list, and from the retransmission list, Information regarding the received packet can be obtained.

본 발명은 SDN 기반의 네트워크에서 외부 공격자에 의한 SYN Flooding 공격이 발생하였을 때 해당 공격을 효율적으로 방어함으로써, 서버의 TCP 세션 수립에 관한 자원을 보호할 뿐만 아니라 SDN 네트워크를 구성하는 스위치와 컨트롤러를 연결하는 채널의 혼잡을 방지할 수 있는 효과가 있다.In the present invention, when a SYN Flooding attack by an external attacker occurs in the SDN-based network, the attack is efficiently defended, and not only protects the resources related to establishing the TCP session of the server, but also connects the switch and controller that make up the SDN network This has the effect of preventing the congestion of the channel.

본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The effects of the present invention are not limited to the above-mentioned effects, and other effects not mentioned will be clearly understood by those skilled in the art from the following description.

도 1은 SYN Flooding 공격을 설명하기 위한 도면이다.
도 2는 SDN 네트워크 환경에서의 SYN Flooding 공격을 설명하기 위한 도면이다.
도 3은 기존의 분산 네트워크 토폴로지를 설명하기 위한 도면이다.
도 4는 SDN 네트워크 토폴로지를 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 SDN 네트워크의 TCP 세션 생성 방법을 설명하기 위한 흐름도이다.
도 6는 본 발명의 일 실시예에 따른 SDN 네트워크를 설명하기 위한 도면이다.
도 7 내지 9는 본 발명의 일 실시예에 따른 SDN 네트워크의 TCP 세션 생성 과정에서 외부 공격에 대응하여 방어하는 방법을 설명하기 위한 도면이다. 1 is a view for explaining a SYN Flooding attack.
2 is a diagram for explaining a SYN Flooding attack in an SDN network environment.
3 is a diagram for explaining a conventional distributed network topology.
4 is a diagram for explaining the SDN network topology.
5 is a flowchart illustrating a method for creating a TCP session in an SDN network according to an embodiment of the present invention.
6 is a view for explaining an SDN network according to an embodiment of the present invention.
7 to 9 are diagrams for explaining a method of defending against an external attack in the process of creating a TCP session in an SDN network according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면을 참조하여 상세하게 설명하도록 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.The present invention can be modified in various ways and can have various embodiments, and specific embodiments will be described in detail with reference to the drawings. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention. In describing each drawing, similar reference numerals are used for similar components.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재 항목들의 조합 또는 복수의 관련된 기재 항목들 중의 어느 항목을 포함한다.Terms such as first, second, A, and B may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from other components. For example, without departing from the scope of the present invention, the first component may be referred to as the second component, and similarly, the second component may also be referred to as the first component. The term and/or includes a combination of a plurality of related description items or any one of a plurality of related description items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급될 때에는 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When a component is said to be "connected" to or "connected" to another component, it should be understood that other components may be directly connected to, or connected to, other components. something to do. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that no other component exists in the middle.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in this application are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, terms such as “include” or “have” are intended to indicate the presence of features, numbers, steps, actions, components, parts, or combinations thereof described in the specification, one or more other features. It should be understood that the existence or addition possibilities of fields or numbers, steps, operations, components, parts or combinations thereof are not excluded in advance.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by a person skilled in the art to which the present invention pertains. Terms such as those defined in a commonly used dictionary should be interpreted as having meanings consistent with meanings in the context of related technologies, and should not be interpreted as ideal or excessively formal meanings unless explicitly defined in the present application. Does not.

명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 포함한다고 할때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있다는 것을 의미한다. Throughout the specification and claims, when a part includes a certain component, this means that other components may be further included instead of excluding the other component, unless specifically stated to the contrary.

SDN(software defined networking) 네트워크는 소프트웨어를 이용하여 동작하며, SDN 컨트롤러와 SDN 스위치로 구성되는 네트워크를 말한다. 도 3은 기존의 분산된 네트워크 토폴로지이다. 이처럼 기존의 네트워크구조는 분산된 네트워크 구조를 가지고 있으며 이와는 다르게 도 4처럼 SDN 네트워크는 중앙 컨트롤러와 스위치들이 중앙 집중화되어 있는 구조를 가지고 있다. 이러한 SDN의 개념은 기존 네트워크의 복잡하고 정적인 문제점들을 해결하기 위해 제안되었다. SDN 네트워크는 기존 네트워크와 달리 소프트웨어를 통해 모든 네트워크 요소들의 구현이 가능하며 네트워크 제어는 컨트롤러를 통해 이루어지게 된다. 또한 SDN 스위치는 컨트롤러에 제어를 받으며 모든 플로어의 흐름을 컨트롤러에서 손쉽게 제어 가능하게 구성되어 있다. 이러한 점은 네트워크 구성 및 운영을 보다 유연하고 편리하게 해주는 큰 장점이 될 수 있다.A software defined networking (SDN) network operates using software and refers to a network composed of an SDN controller and an SDN switch. 3 is a conventional distributed network topology. As such, the existing network structure has a distributed network structure, and unlike this, the SDN network has a structure in which central controllers and switches are centralized as shown in FIG. 4. This concept of SDN was proposed to solve the complex and static problems of the existing network. Unlike the existing network, the SDN network can implement all network elements through software, and network control is done through the controller. In addition, the SDN switch is controlled by the controller and is configured to be able to easily control the flow of all floors from the controller. This can be a great advantage to make the network configuration and operation more flexible and convenient.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 5는 본 발명의 일 실시예에 따른 SDN 네트워크의 TCP 세션 생성 방법을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a method for generating a TCP session in an SDN network according to an embodiment of the present invention.

이때, 본 발명의 일 실시예에 따른 SDN 네트워크의 TCP 세션 생성 방법은 현재 널리 사용되고 있는 3-way Handshake 방식에 기반한다.At this time, the method for generating a TCP session in the SDN network according to an embodiment of the present invention is based on a widely used 3-way handshake method.

단계 S510에서는, SDN 네트워크가 호스트로부터 제1 SYN 패킷을 수신하면, 제2 SYN 패킷을 수신할 때까지 대기한다.In step S510, when the SDN network receives the first SYN packet from the host, it waits until it receives the second SYN packet.

즉, SDN 네트워크는 호스트로부터 최초로 SYN 패킷(제1 SYN 패킷)을 수신하면, 이를 서버에게 바로 전송하지 않고, 호스트로부터 두번째 SYN 패킷(제2 SYN 패킷)을 수신할 때까지 대기할 수 있다. 다시 말하면, SDN 네트워크는 제1 SYN 패킷을 수신한 후 의도적으로 대기함으로써, TCP Time out 메커니즘을 통해 호스트로 하여금 제2 SYN 패킷을 재전송하도록 유도할 수 있다.That is, when the SDN network receives the first SYN packet (the first SYN packet) from the host, the SDN network may wait until the second SYN packet (the second SYN packet) is received from the host without directly transmitting it to the server. In other words, the SDN network may intentionally wait after receiving the first SYN packet, thereby inducing the host to retransmit the second SYN packet through a TCP Time out mechanism.

이때, 호스트는 SDN 네트워크를 통해 서버와 TCP 연결을 수립하려는 외부 장치이며, 정상적인 사용자이거나 악의적인 공격자일 수 있다.At this time, the host is an external device to establish a TCP connection with the server through the SDN network, and may be a normal user or a malicious attacker.

한편, SYN(Synchronization) 패킷은 호스트와 서버 간의 최초 TCP 연결 세션을 수립할 때 통신에 필요한 정보를 서로 동기화하기 위해 이용된다. 현재 인터넷에서 사용하고 있는 3-way Handshake 방식은 SYN 패킷을 이용하여 TCP 세션을 연결하고 있다.Meanwhile, a SYN (Synchronization) packet is used to synchronize information necessary for communication when establishing an initial TCP connection session between a host and a server. The 3-way handshake method currently used on the Internet uses a SYN packet to connect a TCP session.

단계 S520에서는, SDN 네트워크가 제2 SYN 패킷을 수신하였는지 판단한다.In step S520, it is determined whether the SDN network has received the second SYN packet.

즉, SDN 네트워크는 호스트로부터 제2 SYN 패킷(두번째 SYN 패킷)을 수신하였는지 판단한 결과 수신하였으면, TCP 세션 생성을 위한 다음 단계를 진행할 수 있다.That is, if it is determined that the SDN network has received the second SYN packet (second SYN packet) from the host, the SDN network may proceed to the next step for creating a TCP session.

다른 실시예에서는, SDN 네트워크가 제2 SYN 패킷을 수신하지 못하면, 호스트와 서버 간의 TCP 세션 생성 과정을 종료시킬 수 있다.In another embodiment, if the SDN network does not receive the second SYN packet, the TCP session creation process between the host and the server may be terminated.

예컨대, 도 7을 참조하면, 정상적인 사용자(Host)는 최초의 SYN 패킷을 전송한 후, SDN 네트워크로부터 응답을 받지 못하게 된다. 그리고, 그 사용자(Host)는 두번째 SYN 패킷(retransmitted)을 전송하여, TCP 세션 생성을 위한 이후 과정을 진행할 수 있다.For example, referring to FIG. 7, a normal user (Host) does not receive a response from the SDN network after transmitting the first SYN packet. Then, the user (Host) may transmit a second SYN packet (retransmitted), and then proceed to a subsequent process for creating a TCP session.

반면에, 공격자(Attacker)는 상이한 IP 주소를 이용하여 한 차례씩 SYN 패킷을 전송한 후, SDN 네트워크의 의도적인 대기로 인하여 응답을 받지 못하게 된다. 그러나, 공격자(Attacker)는 일반적으로 두번째 SYN 패킷(retransmitted)을 전송하지 않으므로, TCP 세션 생성을 위한 이후 과정을 진행할 수 없게 되고, 서버에 아무런 피해를 입히지 못하게 된다.On the other hand, the attacker (Attacker) sends a SYN packet once using a different IP address, and then fails to receive a response due to the intentional waiting of the SDN network. However, since the attacker (Attacker) generally does not transmit the second SYN packet (retransmitted), it is impossible to proceed with the subsequent process for creating a TCP session and cause no damage to the server.

단계 S530에서는, SDN 네트워크가 제2 SYN 패킷을 서버에게 전송한다.In step S530, the SDN network transmits the second SYN packet to the server.

즉, SDN 네트워크는 호스트로부터 수신한 제2 SYN 패킷을 서버에게 전송함으로써, 호스트와 서버 간의 3-way Handshake의 첫번째 단계인 접속 요청이 진행되도록 할 수 있다.That is, the SDN network can transmit the second SYN packet received from the host to the server, so that the connection request, which is the first step of the 3-way handshake between the host and the server, can proceed.

단계 S540에서는, SDN 네트워크가 서버로부터 제2 SYN 패킷에 대한 응답으로 SYN+ACK 패킷을 수신하여, 호스트에게 전송한다.In step S540, the SDN network receives the SYN+ACK packet from the server in response to the second SYN packet, and transmits it to the host.

이때, SDN 네트워크는 서버에게 전송한 제2 SYN 패킷에 대한 응답으로, 서버로부터 SYN+ACK 패킷을 수신할 수 있다. 또한, SDN 네트워크는 그 수신한 SYN+ACK 패킷을 호스트에게 전송할 수 있다.At this time, the SDN network may receive a SYN+ACK packet from the server in response to the second SYN packet sent to the server. In addition, the SDN network may transmit the received SYN+ACK packet to the host.

다시 말하면, SDN 네트워크는 서버로부터 SYN+ACK 패킷을 수신하고, 이를 호스트에게 전송함으로써, 호스트와 서버 간의 3-way Handshake의 두번째 단계인 접속 요청의 수락이 진행되도록 할 수 있다.In other words, the SDN network receives the SYN+ACK packet from the server and transmits it to the host, so that the acceptance of the connection request, which is the second step of the 3-way handshake between the host and the server, can proceed.

단계 S550에서는, SDN 네트워크가 호스트로부터 SYN+ACK 패킷에 대한 응답으로 ACK 패킷을 수신하였는지 판단한다.In step S550, it is determined whether the SDN network has received the ACK packet in response to the SYN+ACK packet from the host.

즉, SDN 네트워크는 호스트로부터 ACK 패킷을 수신하면, TCP 세션 생성을 위한 다음 단계를 진행할 수 있다.That is, when the SDN network receives the ACK packet from the host, it can proceed to the next step for creating a TCP session.

다른 실시예에서는, SDN 네트워크가 소정의 기준 시간 내에 ACK 패킷을 수신하면, TCP 세션 생성을 위한 다음 단계를 진행할 수 있다.In another embodiment, when the SDN network receives the ACK packet within a predetermined reference time, the next step for creating a TCP session may be performed.

즉, SDN 네트워크는 호스트에게 SYN+ACK 패킷을 전송한 이후, 기준 시간 내에 호스트로부터 ACK 패킷을 수신한 경우에만, TCP 세션 생성을 위한 다음 단계가 진행되도록 할 수 있다.That is, after transmitting the SYN+ACK packet to the host, the SDN network may allow the next step for creating a TCP session to proceed only when an ACK packet is received from the host within a reference time.

예컨대, 도 8을 참조하면, 정상적인 사용자(Host)는 SDN 네트워크로부터 SYN+ACK 패킷을 수신한 이후, SDN 네트워크에게 ACK 패킷을 전송하는 것을 확인할 수 있다.For example, referring to FIG. 8, after a normal user (Host) receives a SYN+ACK packet from the SDN network, it can be confirmed that the ACK packet is transmitted to the SDN network.

한편, SDN 네트워크는 호스트에게 SYN+ACK 패킷을 전송한 이후, 기준 시간 내에 호스트로부터 ACK 패킷을 수신하지 못할 수도 있다.Meanwhile, after transmitting the SYN+ACK packet to the host, the SDN network may not receive the ACK packet from the host within a reference time.

예컨대, 도 8을 참조하면, 공격자(Attacker)는 정상적인 사용자(Host)와는 다르게 SYN+ACK 패킷을 수신하였음에도 불구하고, ACK 패킷을 전송하지 않을 수 있다. 이는, 공격자(Attacker)의 원래 의도가 TCP 세션 수립이 아닌, 서버에 대한 공격이기 때문일 수 있다.For example, referring to FIG. 8, an attacker may not transmit an ACK packet even though a SYN+ACK packet is received unlike a normal user (Host). This may be because the attacker's original intention was not to establish a TCP session, but to attack the server.

이때, SDN 네트워크는 호스트와 서버 간의 TCP 세션 생성 과정을 종료시킬 수 있다.At this time, the SDN network may end the TCP session creation process between the host and the server.

또 다른 실시예에서는, 기준 시간은 SDN 네트워크는 호스트로부터 제1 SYN 패킷을 수신한 이후 제2 SYN 패킷을 수신할 때까지 소요되는 시간일 수 있다.In another embodiment, the reference time may be a time required for the SDN network to receive the second SYN packet after receiving the first SYN packet from the host.

즉, SDN 네트워크는 호스트로부터 제1 SYN 패킷을 수신한 이후 제2 SYN 패킷을 수신할 때까지 소요되는 시간을 RTT(Round trip time)로 설정할 수 있다. 그리고, SDN 네트워크는 SYN+ACK 패킷을 전송한 이후, ACK 패킷을 수신하기까지의 시간이 RTT 이상이 되는 경우, 호스트를 공격자(Attacker)로 판단하고 서버로 하여금 준비 중인 TCP 세션을 강제로 종료시키도록 할 수 있다.That is, after receiving the first SYN packet from the host, the SDN network may set a time required to receive the second SYN packet as a round trip time (RTT). And, after the SDN network transmits the SYN+ACK packet, when the time until receiving the ACK packet exceeds RTT, the host is judged as an attacker and the server is forced to terminate the TCP session being prepared. Can be done.

이때, SDN 네트워크는 호스트로부터 수신하는 ACK 패킷은 호스트와 서버 간의 3-way Handshake의 세번째 단계인 수락 확인을 위한 패킷이다.At this time, in the SDN network, the ACK packet received from the host is a packet for acknowledgment of acceptance, which is the third step of the 3-way handshake between the host and the server.

마지막으로 단계 S560에서는, SDN 네트워크가 ACK 패킷을 서버에게 전송하여 TCP 세션을 생성한다.Finally, in step S560, the SDN network sends an ACK packet to the server to create a TCP session.

즉, SDN 네트워크는 스트와 서버 간의 3-way Handshake의 세번째 단계인 수락 확인에 대응되는 ACK 패킷을 서버에게 전송함으로써, TCP 세션의 생성을 완료할 수 있다.That is, the SDN network can complete the creation of the TCP session by sending an ACK packet corresponding to the acknowledgment that is the third step of the 3-way handshake between the server and the server.

다른 실시예에서는, SDN 네트워크는 호스트 또는 서버로부터 수신된 패킷 각각에 대하여, 해당 패킷의 수신 시각, RTT 타임아웃, 플래그 상태, 소스 IP에 관한 정보를 재전송 목록(retransmission list)에 기록하고, 그 재전송 목록으로부터 수신된 패킷에 관한 정보를 획득할 수 있다.In another embodiment, the SDN network records, for each packet received from the host or server, information about the packet's reception time, RTT timeout, flag status, and source IP in a retransmission list, and retransmits the packet. Information about the received packet can be obtained from the list.

예컨대, SDN 네트워크는 재전송 목록에 수신 패킷의 수신 시각, RTT 타임아웃, 플래그 상태(SYN, SYN+ACK, ACK), 소스 IP에 관한 정보를 모두 기록할 수 있다. 또한, SDN 네트워크는 이전에 수신된 패킷에 대한 정보를 확인할 때, 그 재전송 목록을 이용하여 관련 정보를 획득할 수 있다.For example, the SDN network may record all the information regarding the reception time, RTT timeout, flag status (SYN, SYN+ACK, ACK) and source IP of the received packet in the retransmission list. In addition, when the SDN network checks information on a previously received packet, it can acquire related information using the retransmission list.

보다 구체적으로, SDN 네트워크는 제1 SYN 패킷을 수신한 이후, 제1 SYN 패킷의 수신 시각, RTT 타임아웃, 플래그 상태, 소스 IP를 재전송 목록에 기록할 수 있다. 또한, SDN 네트워크는 제2 SYN 패킷을 수신하면, 재전송 목록에서 동일한 소스 IP로부터 수신한, SYN 패킷이 있는지 확인하고, 그 2개 SYN 패킷의 수신 시간의 차이를 RTT 타임아웃으로 설정할 수 있다.More specifically, after receiving the first SYN packet, the SDN network may record the reception time, RTT timeout, flag status, and source IP of the first SYN packet in the retransmission list. In addition, when the SDN network receives the second SYN packet, it may check whether there is a SYN packet received from the same source IP in the retransmission list, and set a difference in reception time between the two SYN packets as an RTT timeout.

또 다른 실시예에서는, SDN 네트워크가 호스트로부터 제3 SYN 패킷을 수신하면, 그 제3 SYN 패킷을 폐기할 수 있다.In another embodiment, when the SDN network receives the third SYN packet from the host, the third SYN packet may be discarded.

즉, SDN 네트워크가 호스트로부터 제2 SYN 패킷을 수신한 이후, 제3 SYN 패킷을 수신하면 그 제3 SYN 패킷을 드롭(drop)하여, 비정상적인 공격으로부터 서버를 방어할 수 있다.That is, after the SDN network receives the second SYN packet from the host, when the third SYN packet is received, the third SYN packet is dropped to protect the server from an abnormal attack.

예컨대, 도 9를 참조하면, SDN 네트워크는 재전송 목록에서 동일한 소스 IP로부터 제1 SYN 패킷과 제2 SYN 패킷을 수신한 것을 확인할 수 있다. 이때, 제2 SYN 패킷은 RTT time out이 0이 아닌 값으로 설정되어 있는 것으로부터 확인가능하다. 이때, 만일 SDN 네트워크가 제3 SYN 패킷을 수신하게 되면, SDN 네트워크는 비정상적인 제3 SYN 패킷이 수신되었다고 판단할 수 있으며, 그 제3 SYN 패킷을 폐기할 수 있다.For example, referring to FIG. 9, it can be seen that the SDN network has received the first SYN packet and the second SYN packet from the same source IP in the retransmission list. At this time, the second SYN packet can be confirmed from that the RTT time out is set to a non-zero value. At this time, if the SDN network receives the third SYN packet, the SDN network may determine that an abnormal third SYN packet has been received, and discard the third SYN packet.

도 6는 본 발명의 일 실시예에 따른 SDN 네트워크를 설명하기 위한 도면이다.6 is a view for explaining an SDN network according to an embodiment of the present invention.

도 6을 참조하면, 본 발명의 일 실시예에 따른 SDN 네트워크(600)는 SDN 스위치(602) 및 SDN 컨트롤러(603)를 포함한다.Referring to FIG. 6, the SDN network 600 according to an embodiment of the present invention includes an SDN switch 602 and an SDN controller 603.

SDN 스위치(602)는 호스트(601)로부터 제1 SYN 패킷을 수신(610)하면, 제2 SYN 패킷을 수신(611)할 때까지 대기하고, 제2 SYN 패킷을 수신(611)하면, 제2 SYN 패킷을 서버(604)에게 전송(612)하고, 서버(604)로부터 제2 SYN 패킷에 대한 응답으로 SYN+ACK 패킷을 수신(613)하여, 호스트(601)에게 전송(614)하고, 호스트(601)로부터 SYN+ACK 패킷에 대한 응답으로 ACK 패킷을 수신(615)하면, ACK 패킷을 서버(604)에게 전송(616)하여 TCP 세션을 생성한다.When the SDN switch 602 receives (610) the first SYN packet from the host 601, the SDN switch 602 waits until the second SYN packet is received (611), and receives the second SYN packet (611), the second The SYN packet is transmitted 612 to the server 604, the SYN+ACK packet is received 613 from the server 604 in response to the second SYN packet, and then transmitted to the host 601 (614). Upon receiving (615) the ACK packet in response to the SYN+ACK packet from 601, the ACK packet is transmitted to the server 604 (616) to create a TCP session.

다른 실시예에서는, SDN 스위치(602)는 제2 SYN 패킷을 수신(611)하지 못하면, 호스트(601)와 서버(604) 간의 TCP 세션 생성 과정을 종료시킬 수 있다.In another embodiment, if the SDN switch 602 fails to receive (611) the second SYN packet, the SDN switch 602 may end the TCP session creation process between the host 601 and the server 604.

또 다른 실시예에서는, SDN 스위치(602)는 SYN+ACK 패킷을 전송(614)한 이후 소정의 기준 시간 내에 ACK 패킷을 수신(615)하면, TCP 세션을 생성할 수 있다.In another embodiment, the SDN switch 602 may generate a TCP session by receiving (615) the ACK packet within a predetermined reference time after transmitting (614) the SYN+ACK packet.

또 다른 실시예에서는, 기준 시간은 제1 SYN 패킷을 수신(610)한 이후 제2 SYN 패킷을 수신(611)할 때까지 소요되는 시간일 수 있다.In another embodiment, the reference time may be a time taken from receiving the first SYN packet (610) to receiving the second SYN packet (611).

또 다른 실시예에서는, SDN 스위치(602)는 제2 SYN 패킷을 서버(604)에게 전송(612)한 이후에, 호스트(601)로부터 제3 SYN 패킷을 수신하면, 제3 SYN 패킷을 폐기할 수 있다.In another embodiment, the SDN switch 602 sends the second SYN packet to the server 604, and then, upon receiving the third SYN packet from the host 601, discards the third SYN packet. You can.

또 다른 실시예에서는, SDN 스위치(602)는 수신된 패킷 각각에 대하여, 해당 패킷의 수신 시각, RTT 타임아웃, 플래그 상태, 소스 IP에 관한 정보를 재전송 목록(620)에 기록하고, 재전송 목록(620)으로부터 수신된 패킷에 관한 정보를 획득할 수 있다.In another embodiment, the SDN switch 602 records, for each received packet, information regarding the reception time, RTT timeout, flag status, and source IP of the packet in the retransmission list 620, and the retransmission list ( Information about the packet received from 620 may be obtained.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 사람이라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
The above description is merely illustrative of the technical idea of the present invention, and those skilled in the art to which the present invention pertains may make various modifications and variations without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical spirit of the present invention, but to explain, and the scope of the technical spirit of the present invention is not limited by these embodiments. The scope of protection of the present invention should be interpreted by the claims below, and all technical spirits within the equivalent range should be interpreted as being included in the scope of the present invention.

Claims (12)

SDN(software defined networking) 네트워크를 통해 호스트와 서버가 TCP 세션을 생성하는 방법에 있어서,
상기 SDN 네트워크가 상기 호스트로부터 제1 SYN 패킷을 수신하면, 제2 SYN 패킷을 수신할 때까지 대기하는 단계;
상기 SDN 네트워크가 상기 제2 SYN 패킷을 수신하면, 상기 제2 SYN 패킷을 상기 서버에게 전송하는 단계;
상기 SDN 네트워크가 상기 서버로부터 상기 제2 SYN 패킷에 대한 응답으로 SYN+ACK 패킷을 수신하여, 상기 호스트에게 전송하는 단계; 및
상기 SDN 네트워크가 상기 호스트로부터 상기 SYN+ACK 패킷에 대한 응답으로 ACK 패킷을 수신하면, 상기 ACK 패킷을 상기 서버에게 전송하여 TCP 세션을 생성하는 단계
를 포함하는 것을 특징으로 하는 SDN 네트워크의 TCP 세션 생성 방법.In the method of creating a TCP session between the host and the server through a software defined networking (SDN) network,
If the SDN network receives a first SYN packet from the host, waiting until a second SYN packet is received;
When the SDN network receives the second SYN packet, transmitting the second SYN packet to the server;
Receiving, by the SDN network, a SYN+ACK packet in response to the second SYN packet from the server and transmitting it to the host; And
When the SDN network receives an ACK packet in response to the SYN+ACK packet from the host, transmitting the ACK packet to the server to create a TCP session
TCP session creation method of the SDN network, characterized in that it comprises a. 제1항에 있어서,
상기 SDN 네트워크가 상기 제2 SYN 패킷을 수신하지 못하면, 상기 호스트와 상기 서버 간의 TCP 세션 생성 과정을 종료시키는 것을 특징으로 하는 SDN 네트워크의 TCP 세션 생성 방법.According to claim 1,
If the SDN network does not receive the second SYN packet, the TCP session creation method of the SDN network, characterized in that to terminate the TCP session creation process between the host and the server. 제1항에 있어서,
상기 TCP 세션을 생성하는 단계는
상기 SYN+ACK 패킷을 전송한 이후 소정의 기준 시간 내에 상기 ACK 패킷을 수신하면, 상기 TCP 세션을 생성하는 것을 특징으로 하는 SDN 네트워크의 TCP 세션 생성 방법.According to claim 1,
The step of creating the TCP session is
When the ACK packet is received within a predetermined reference time after transmitting the SYN+ACK packet, the TCP session generation method of the SDN network characterized in that the TCP session is created. 제3항에 있어서,
상기 기준 시간은
상기 제1 SYN 패킷을 수신한 이후 상기 제2 SYN 패킷을 수신할 때까지 소요되는 시간인 것을 특징으로 하는 SDN 네트워크의 TCP 세션 생성 방법.According to claim 3,
The reference time is
A method for generating a TCP session in an SDN network, characterized in that it is a time taken from receiving the first SYN packet to receiving the second SYN packet. 제1항에 있어서,
상기 제2 SYN 패킷을 상기 서버에게 전송하는 단계의 이후에,
상기 SDN 네트워크가 상기 호스트로부터 제3 SYN 패킷을 수신하면, 상기 제3 SYN 패킷을 폐기하는 단계
를 더 포함하는 것을 특징으로 하는 SDN 네트워크의 TCP 세션 생성 방법.According to claim 1,
After the step of transmitting the second SYN packet to the server,
When the SDN network receives a third SYN packet from the host, discarding the third SYN packet
Method for generating a TCP session of the SDN network further comprising a. 제1항에 있어서,
상기 SDN 네트워크는
상기 수신된 패킷 각각에 대하여, 해당 패킷의 수신 시각, RTT 타임아웃, 플래그 상태, 소스 IP에 관한 정보를 재전송 목록(retransmission list)에 기록하고,
상기 재전송 목록으로부터 상기 수신된 패킷에 관한 정보를 획득하는 것을 특징으로 하는 SDN 네트워크의 TCP 세션 생성 방법.According to claim 1,
The SDN network
For each of the received packets, information regarding the reception time, RTT timeout, flag status, and source IP of the corresponding packet is recorded in a retransmission list,
Method for generating a TCP session in the SDN network, characterized in that for obtaining the information about the received packet from the retransmission list. SDN 스위치 및 SDN 컨트롤러를 포함하는 SDN 네트워크에 있어서,
상기 SDN 스위치는
호스트로부터 제1 SYN 패킷을 수신하면, 제2 SYN 패킷을 수신할 때까지 대기하고,
상기 제2 SYN 패킷을 수신하면, 상기 제2 SYN 패킷을 서버에게 전송하고,
상기 서버로부터 상기 제2 SYN 패킷에 대한 응답으로 SYN+ACK 패킷을 수신하여, 상기 호스트에게 전송하고,
상기 호스트로부터 상기 SYN+ACK 패킷에 대한 응답으로 ACK 패킷을 수신하면, 상기 ACK 패킷을 상기 서버에게 전송하여 TCP 세션을 생성하는 것을 특징으로 하는 SDN 네트워크.In the SDN network comprising an SDN switch and an SDN controller,
The SDN switch
When receiving the first SYN packet from the host, it waits until receiving the second SYN packet,
When the second SYN packet is received, the second SYN packet is transmitted to the server,
Receiving a SYN+ACK packet in response to the second SYN packet from the server, transmitting it to the host,
And receiving an ACK packet in response to the SYN+ACK packet from the host, transmitting the ACK packet to the server to create a TCP session. 제7항에 있어서,
상기 SDN 스위치는
상기 제2 SYN 패킷을 수신하지 못하면, 상기 호스트와 상기 서버 간의 TCP 세션 생성 과정을 종료시키는 것을 것을 특징으로 하는 SDN 네트워크.The method of claim 7,
The SDN switch
If the second SYN packet is not received, the SDN network, characterized in that to terminate the TCP session creation process between the host and the server. 제7항에 있어서,
상기 SDN 스위치는
상기 SYN+ACK 패킷을 전송한 이후 소정의 기준 시간 내에 상기 ACK 패킷을 수신하면, 상기 TCP 세션을 생성하는 것을 특징으로 하는 SDN 네트워크.The method of claim 7,
The SDN switch
When the ACK packet is received within a predetermined reference time after transmitting the SYN+ACK packet, the SDN network is created. 제9항에 있어서,
상기 기준 시간은
상기 제1 SYN 패킷을 수신한 이후 상기 제2 SYN 패킷을 수신할 때까지 소요되는 시간인 것을 특징으로 하는 SDN 네트워크.The method of claim 9,
The reference time is
SDN network characterized in that it takes a time from receiving the first SYN packet to receiving the second SYN packet. 제7항에 있어서,
상기 SDN 스위치는
상기 제2 SYN 패킷을 상기 서버에게 전송한 이후에, 상기 호스트로부터 제3 SYN 패킷을 수신하면, 상기 제3 SYN 패킷을 폐기하는 것을 특징으로 하는 SDN 네트워크.The method of claim 7,
The SDN switch
After transmitting the second SYN packet to the server, when receiving a third SYN packet from the host, the SDN network, characterized in that discarding the third SYN packet. 제7항에 있어서,
상기 SDN 스위치는
상기 수신된 패킷 각각에 대하여, 해당 패킷의 수신 시각, RTT 타임아웃, 플래그 상태, 소스 IP에 관한 정보를 재전송 목록(retransmission list)에 기록하고,
상기 재전송 목록으로부터 상기 수신된 패킷에 관한 정보를 획득하는 것을 특징으로 하는 SDN 네트워크.
The method of claim 7,
The SDN switch
For each of the received packets, information regarding the reception time, RTT timeout, flag status, and source IP of the corresponding packet is recorded in a retransmission list,
SDN network, characterized in that for obtaining the information about the received packet from the retransmission list.
KR1020180173587A 2018-11-26 2018-12-31 Method of establishing tcp session for sdn-based network and sdn network thereof KR102185588B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2019/010909 WO2020111456A1 (en) 2018-11-26 2019-08-27 Method for generating tcp session by sdn network and sdn network to which same method is applied

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020180147811 2018-11-26
KR20180147811 2018-11-26

Publications (2)

Publication Number Publication Date
KR20200061997A true KR20200061997A (en) 2020-06-03
KR102185588B1 KR102185588B1 (en) 2020-12-02

Family

ID=71087615

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180173587A KR102185588B1 (en) 2018-11-26 2018-12-31 Method of establishing tcp session for sdn-based network and sdn network thereof

Country Status (1)

Country Link
KR (1) KR102185588B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101263381B1 (en) * 2011-12-07 2013-05-21 주식회사 시큐아이 Method and apparatus for defending against denial of service attack in tcp/ip networks
JP2013201478A (en) * 2012-03-23 2013-10-03 Nec Corp Network system, switch and communication delay reduction method
KR101665848B1 (en) 2015-01-29 2016-10-14 한국과학기술원 Method and apparatus for effective intrusion detection in internal network
JP2017050832A (en) * 2015-09-04 2017-03-09 富士通株式会社 Network system and dos (denial of service) attack defense method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101263381B1 (en) * 2011-12-07 2013-05-21 주식회사 시큐아이 Method and apparatus for defending against denial of service attack in tcp/ip networks
JP2013201478A (en) * 2012-03-23 2013-10-03 Nec Corp Network system, switch and communication delay reduction method
KR101665848B1 (en) 2015-01-29 2016-10-14 한국과학기술원 Method and apparatus for effective intrusion detection in internal network
JP2017050832A (en) * 2015-09-04 2017-03-09 富士通株式会社 Network system and dos (denial of service) attack defense method

Also Published As

Publication number Publication date
KR102185588B1 (en) 2020-12-02

Similar Documents

Publication Publication Date Title
CN101390064B (en) Preventing network reset denial of service attacks using embedded authentication information
AU2004217318B2 (en) Using TCP to authenticate IP source addresses
Joncheray A Simple Active Attack Against TCP.
Touch Defending TCP against spoofing attacks
CA2548476C (en) Preventing network data injection attacks using duplicate-ack and reassembly gap approaches
EP2130350B1 (en) Identifying abnormal network traffic
EP1706955B1 (en) Method and apparatus for preventing network data injection attacks
US8024788B2 (en) Method and apparatus for reliable, high speed data transfers in a high assurance multiple level secure environment
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US20120227088A1 (en) Method for authenticating communication traffic, communication system and protective apparatus
WO2015100488A1 (en) Communication network with load balancing functionality
US8973143B2 (en) Method and system for defeating denial of service attacks
US7565694B2 (en) Method and apparatus for preventing network reset attacks
US20130055349A1 (en) Method and apparatus for releasing tcp connections in defense against distributed denial of service attacks
Biagioni Preventing UDP flooding amplification attacks with weak authentication
KR102185588B1 (en) Method of establishing tcp session for sdn-based network and sdn network thereof
Zheng et al. Application-based TCP hijacking
JP2017034627A (en) System and method for communication control
EP1975829A1 (en) Identifying abnormal network traffic conditions
Kim et al. Annulling SYN flooding attacks with whitelist
WO2020111456A1 (en) Method for generating tcp session by sdn network and sdn network to which same method is applied
Bernardo et al. Network security considerations for a new generation protocol UDT
Geva Ensuring QoS During Bandwidth DDoS Attacks
Nyangaresi Security Evaluation of the Adaptive Congestion Control Algorithms for Virtual Data Center Communication
Tanabe et al. Adaptive timer-based countermeasures against TCP SYN flood attacks

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant