WO2011013947A2

WO2011013947A2 - 분산서비스거부 공격 차단 시스템 및 방법

Info

Publication number: WO2011013947A2
Application number: PCT/KR2010/004830
Authority: WO
Inventors: 마정우; 이수선화; 김춘곤
Original assignee: (주)잉카인터넷
Priority date: 2009-07-27
Filing date: 2010-07-23
Publication date: 2011-02-03
Also published as: WO2011013947A3

Abstract

이 발명은 분산서비스거부(DDoS) 공격을 실시간으로 차단하는 시스템 및 방법에 관한 것이다. 이 발명에 따른 분산서비스거부 공격 차단시스템은, 클라이언트 컴퓨터들로부터 공격대상서버로 인바운드되는 패킷들을 분석하여 디도스 공격패킷의 목적지 IP 주소와 디도스 공격방식을 포함한 패턴을 검출하는 디도스 패턴 검출부와, 상기 디도스 공격패킷의 패턴을 포함한 디도스공격차단모듈을 생성하여 상기 클라이언트 컴퓨터들에게 설치하는 업데이트서버를 포함하고, 상기 디도스공격차단모듈은 상기 클라이언트 컴퓨터에 설치되어 상기 클라이언트 컴퓨터로부터 아웃바운드되는 패킷의 패턴과 상기 디도스 공격패킷의 패턴을 비교하여 동일하면 상기 아웃바운드 패킷의 송출을 차단하도록 된다.

Description

분산서비스거부 공격 차단 시스템 및 방법

이 발명은 분산서비스거부 공격 차단 시스템 및 방법에 관한 것으로서, 보다 상세하게는 분산서비스거부(DDoS) 공격을 실시간으로 차단하는 시스템 및 방법에 관한 것이다.

분산서비스거부(DDoS ; Distributed Denial of Service, 이하 '디도스'라 함) 공격은 엄청난 양의 데이터를 특정 서버에 한꺼번에 보내 해당 서버에 부하가 걸리도록 함으로써 서비스를 못하게 하는 일종의 해킹 방법이다.

이 디도스 공격은 2000년 2월 아마존, 이베이, 야후 등 전자상거래 관련 사이트들이 공격을 받아 운영할 수 없는 사건이 발생하면서 일반인들에게 알려지기 시작했고, 2001년 7월에는 윈도2000과 윈도NT 서버를 경유해 미국 백악관의 사이트를 디도스(DDoS) 공격 방법으로 마비시키는 웜바이러스 '코드레드'의 변종인 '코드레드Ⅱ'가 등장해 전 세계를 긴장시키기도 했다.

한편, 국내에서는　2003년 1월에 디도스(DDoS)가 KT 전화국 DNS 서버를 공격해 공격 2시간 만에 일부 전화국 서버 접속 성공률을 10%로 하락시킨 뒤 하나로통신, 두루넷 등 다른 인터넷 서비스 공급자(ISP)들과 SK텔레콤, KTF, LG텔레콤 등 무선인터넷 사업자들의 망에도 트래픽 증가를 유발시켜 사실상 인터넷 대란이 발생했었다. 가장 최근 2009년 7월에는 국내 주요 공공기관, 은행권, 주요 포탈사이트와 미국 백악관을 포함한 주요 기관들이 디도스(DDoS) 공격을 받아 해당 웹서버의 서비스가 지연되거나 중단된 바 있다.

도 1은 디도스 공격 시스템을 도시한 도면이다.

먼저 공격자 PC(11)는 다수의 컴퓨터에게 디도스 공격을 위한 도구 즉, 디도스 바이러스를 설치하여 감염시킨다. 디도스 바이러스에 감염된 다수의 컴퓨터들(12a, 12b, 12c)은 공격자 PC(11)의 명령을 받거나 미리 설정된 시간에 공격대상서버(13)에게 엄청난 분량의 패킷을 동시에 송출한다.

컴퓨터 통신규약상 임의의 클라이언트컴퓨터가 임의의 서버에게 요청패킷을 전송하면 해당 서버는 그 클라이언트컴퓨터에게 반드시 해당 요청패킷에 대한 응답을 해야 한다. 그렇기 때문에 디도스 바이러스에 감염된 다수의 컴퓨터(이하, '감염컴퓨터'라 함)들(12a, 12b, 12c)이 공격대상서버(13)에게 공격대상서버(13)의 처리 분량을 넘어서는 엄청난 분량의 요청패킷을 동시에 송출하면, 공격대상서버(13)는 이를 처리하지 못하고 시스템 마비를 일으킨다.

이러한 디도스 공격을 근본적으로 차단하려면 감염컴퓨터(12a, 12b, 12c)를 감염시킨 디도스 바이러스를 치료해야 한다. 디도스 바이러스를 치료하는 과정도 기존의 컴퓨터 바이러스를 치료하는 과정과 유사한데, 먼저 디도스 바이러스를 수집하고, 그 디도스 바이러스를 치료하기 위한 백신을 개발하고, 감염컴퓨터에 그 디도스 바이러스 백신이 다운로딩 된 후 감염컴퓨터에서 디도스 바이러스 백신이 구동되어야 한다.

그러나, 디도스 공격이 발생하더라도 디도스 바이러스를 수집하고 그 디도스 바이러스를 치료하기 위한 백신을 개발하기까지 긴 시간이 소요(최근 2009년 7월에 발생한 디도스 공격을 수행한 디도스 바이러스 백신을 개발하기까지 72시간이 소요)되기 때문에, 그 기간동안에는 디도스 공격이 행해질 것을 미리 알더라도 이를 차단할 수 없는 문제점이 있다.

즉, 공격대상서버가 감염컴퓨터들에 의해 디도스 공격을 당하는 동안에는 감염컴퓨터들의 디도스 공격을 차단시킬만한 아무런 방법이 없기 때문에 공격대상서버는 속수무책으로 당할 수밖에 없는 문제점이 있다.

이 발명은 상술한 종래기술의 문제점을 해결하기 위하여 안출된 것으로서, 이 발명의 목적은 공격대상서버에 대한 디도스 공격이 감지되면 해당 디도스 공격의 패턴을 검출하고, 감염컴퓨터의 디도스 바이러스가 치료되기 전이라도 감염컴퓨터로부터 송출되는 아웃바운드 패킷이 디도스 공격 패턴인지를 판단하여 디도스 공격 패턴을 가지는 아웃바운드 패킷의 송출을 차단함으로써, 실시간으로 디도스 공격을 차단하는 시스템 및 방법을 제공하기 위한 것이다.

상기한 목적을 달성하기 위한 이 발명에 따른 분산서비스거부 공격 차단 시스템은, 클라이언트 컴퓨터들로부터 공격대상서버로 인바운드되는 패킷들을 분석하여 디도스 공격패킷의 목적지 IP 주소와 디도스 공격방식을 포함한 패턴을 검출하는 디도스 패턴 검출부와, 상기 디도스 공격패킷의 패턴을 포함한 디도스공격차단모듈을 생성하여 상기 클라이언트 컴퓨터들에게 설치하는 업데이트서버를 포함하고, 상기 디도스공격차단모듈은 상기 클라이언트 컴퓨터에 설치되어 상기 클라이언트 컴퓨터로부터 아웃바운드되는 패킷의 패턴과 상기 디도스 공격패킷의 패턴을 비교하여 동일하면 상기 아웃바운드 패킷의 송출을 차단하도록 된 것을 특징으로 한다.

또한, 이 발명에 따른 분산서비스거부 공격 차단 방법은, 클라이언트 컴퓨터들로부터 공격대상서버로 인바운드되는 패킷들을 분석하여 디도스 공격패킷의 목적지 IP 주소와 디도스 공격방식을 포함한 패턴을 검출하는 디도스 패턴 검출단계와, 상기 디도스 공격패킷의 패턴을 포함한 디도스공격차단모듈을 생성하여 상기 클라이언트 컴퓨터들에게 설치하는 업데이트단계를 포함하고, 상기 디도스공격차단모듈은 상기 클라이언트 컴퓨터에 설치되어 상기 클라이언트 컴퓨터로부터 아웃바운드되는 패킷의 패턴과 상기 디도스 공격패킷의 패턴을 비교하여 동일하면 상기 아웃바운드 패킷의 송출을 차단하도록 된 것을 특징으로 한다.

이상과 같이 이 발명에 따르면 감염컴퓨터들에 의한 디도스 공격이 행해지는 것이 감지되면 공격대상서버로 인바운드되는 디도스 공격패킷의 패턴을 분석하고, 업데이트서버가 감염컴퓨터에 디도스공격차단모듈을 설치하고, 감염컴퓨터에 설치되는 디도스공격차단모듈이 디도스 공격패턴과 동일한 패턴을 가지는 아웃바운드 패킷의 송출을 차단함으로써, 감염컴퓨터들에 의한 디도스 공격이 행해지는 동안에 실시간으로 해당 디도스 공격을 차단할 수 있는 효과가 있다.

또한, 이 발명에 따르면 디도스 바이러스 백신을 개발하어 디도스 바이러스가 치료되기 전이라도 감염컴퓨터 자체적으로 디도스 공격이 차단되어 디도스 공격으로 인한 공격대상서버의 시스템 마비를 사전에 방지할 수 있는 효과가 있다.

아울러, 이 발명에 따르면 디도스 바이러스에 대한 정보를 신속하게 수집할 수 있기 때문에 디도스 바이러스 백신을 신속하게 개발할 수 있고, 감염컴퓨터 사용자가 디도스 바이러스 감염사실을 인지하고 신속하게 대처함으로써 디도스 공격을 방지할 수 있는 효과가 있다.

도 1은 디도스 공격 시스템을 도시한 도면이다.

도 2는 이 발명의 한 실시예에 따른 디도스 공격 차단 시스템을 도시한 블록도이다.

이하, 첨부된 도면을 참조하며 이 발명의 한 실시예에 따른 분산서비스거부 공격 차단 시스템 및 방법을 상세하게 설명한다.

공격자 PC(11)가 다수의 감염컴퓨터들(12a, 12b, 12c)을 디도스 바이러스로 감염시키고, 디도스 바이러스에 감염된 다수의 감염컴퓨터들(12a, 12b, 12c)이 공격대상서버(13)에게 많은 양의 요청패킷을 송출하는 디도스(DDoS) 공격을 한다.

이때, 디도스 공격 방식은 ICMP(Internet Control Message Protocol) 스머프(Smurf) 공격, IP 스푸핑(Spoofing), TCP(Transmission Control Protocol) SYN 플루딩(Flooding), HTTP 커넥션 풀루딩 등 다양하다. 각 디도스 공격 방식에 따라 감염컴퓨터들은 공격대상서버로 하여금 응답을 하도록 하는 임의의 종류의 요청패킷을 전송한다. 통상적으로 동일한 출발지 IP 주소로부터 동일한 목적지 IP 주소로 1초에 20회 이상 동일한 종류의 요청패킷이 전송되면 디도스 공격으로 판단한다.

이 발명은 공격대상서버(13)의 네트워크 입력단에 디도스 패턴 검출부(21)를 설치한다. 이 디도스 패턴 검출부(21)는 감염컴퓨터들(12a, 12b, 12c) 및 비감염컴퓨터(20)로부터 공격대상서버(13)로 인바운드되는 모든 요청패킷들을 분석하여 디도스 공격패킷인지 여부와 그 패턴을 분석한다. 예컨대, 동일한 출발지 IP 주소로부터 1초에 20회 이상 동일한 요청패킷이 연속하여 인바운드되면 이를 디도스 공격패킷으로 인지하고 이 디도스 공격패킷의 디도스 공격패턴(목적지 주소, 디도스 공격 방법 등)을 분석한다.

디도스 패턴 검출부(21)는 분석된 디도스 공격패턴을 업데이트서버(22)에게 제공한다. 업데이트서버(22)는 디도스 공격패턴이 반영된 디도스공격차단모듈을 생성하여 모든 컴퓨터들 즉, 각 감염컴퓨터들(12a, 12b, 12c) 및 비감염컴퓨터(20)에게 실시간 업데이트한다. 이 디도스공격차단모듈은 그 디도스공격차단모듈이 설치된 컴퓨터의 아웃바운드 패킷의 패턴과 디도스 공격 패턴을 비교하여, 디도스 공격 패턴과 동일한 패턴의 아웃바운드 패킷이 외부로 송출되는 것을 차단하고, 디도스 공격 패턴과 동일한 패턴의 아웃바운드 패킷을 생성하여 송출하는 프로세스를 강제 종료시키는 기능을 수행한다.

감염컴퓨터들(12a, 12b, 12c)과 비감염컴퓨터(20)는 통상적인 자동업데이트 기능이 활성화된 백신소프트웨어가 설치된 클라이언트 컴퓨터로서, 이 컴퓨터들은 업데이트서버(22)에게 주기적으로 업데이트 모듈을 요청하고, 업데이트서버(22)는 각 컴퓨터들의 업데이트 모듈의 요청에 대한 응답으로 각 감염컴퓨터들(12a, 12b, 12c)과 비감염컴퓨터(20)에게 디도스공격차단모듈을 다운로딩한다.

감염컴퓨터들(12a, 12b, 12c)과 비감염컴퓨터(20)에 각각 다운로딩되어 설치된 디도스공격차단모듈은 해당 컴퓨터로부터 외부로 송출되는 아웃바운드 패킷의 패턴과 디도스 공격패턴을 비교하고, 디도스 공격패턴과 동일한 패턴의 아웃바운드 패킷을 차단한다.

예컨대, 감염컴퓨터들(12a 12b, 12c)는 공격대상서버(13)에 대한 디도스 공격을 하고 있기 때문에, 감염컴퓨터들(12a 12b, 12c)에서 송출되는 대부분의 아웃바운드 패킷의 패턴은 디도스 공격패턴과 동일한 것이다. 이럴 경우, 감염컴퓨터들(12a 12b, 12c)에 설치된 디도스공격차단모듈은 해당 아웃바운드 패킷의 송출을 차단하고, 해당 아웃바운드 패킷을 생성하고 있는 프로세스를 종료시킨다.

디도스공격차단모듈이 아웃바운드 패킷을 감시하고 차단하는 과정을 보다 상세하게 설명하면, 디도스공격차단모듈은 OSI 레이어 중 2번째 데이터링크 레이어 또는 3번째 네트워크 레이어에 아웃바운드 패킷을 감시하기 위한 후킹루틴을 설치하여 패킷 필터링이 구현되도록 한다. 물론, 후킹루틴이 아웃바운드 패킷 이외에 인바운드 패킷을 더 감시하도록 더 설치할 수도 있다.

후킹루틴은 아웃바운드 패킷이 외부로 송출되기 전에 OSI의 데이터링크 레이어 또는 네트워크 레이어에서 아웃바운드 패킷을 가로채기를 하고, 해당 아웃바운드 패킷의 패턴과 디도스 공격패킷의 패턴을 비교하여, 두 패턴이 동일하면 해당 아웃바운드 패킷의 송출을 차단하고 두 패턴이 동일하지 않으면 해당 아웃바운드 패킷을 송출시킨다.

또한, 이렇게 아웃바운드 패킷을 디도스 공격패킷으로 인지하고 차단한 경우, 디도스공격차단모듈은 사용자에게 자신의 컴퓨터가 디도스 바이러스에 감염된 상태임을 알리고 적절한 조치(해당 감염컴퓨터의 사용 중지, 국가정보원이나 경찰청사이버수사대에 문의)를 취할 수 있도록 안내한다.

또한, 이렇게 아웃바운드 패킷을 디도스 공격패킷으로 인지하고 차단한 경우, 그 아웃바운드 패킷을 생성한 프로세스의 복사본이나 해당 프로세스를 생성한 파일을 검색하여 이를 업데이트서버에게 보낸다. 이렇게 함으로써, 업데이트서버는 디도스 바이러스에 대한 정보를 조속한 시간 내에 수집할 수 있고, 디도스 바이러스 백신을 보다 빠른 시일 내에 개발할 수 있다.

한편, 비감염컴퓨터(20)는 공격대상서버(13)에 대한 디도스 공격을 하지 않고 있기 때문에, 비감염컴퓨터(20)로부터 송출되는 아웃바운드 패킷의 패턴은 디도스 공격패턴과 다르고, 이럴 경우 비감염컴퓨터(20)에 설치된 디도스공격차단모듈은 동작하지 않을 것이다.

이상에서 본 발명에 대한 기술사상을 첨부도면과 함께 서술하였지만, 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술분야의 통상의 지식을 가진 자라면 누구나 본 발명의 기술사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.

Claims

클라이언트 컴퓨터들로부터 공격대상서버로 인바운드되는 패킷들의 출발지 IP 주소와 수신 횟수를 분석하여 디도스 공격 여부를 판단하고 디도스 공격패킷의 목적지 IP 주소와 디도스 공격방식을 포함한 디도스 공격패턴을 검출하는 디도스 패턴 검출부와,

상기 디도스 공격패턴을 포함한 디도스공격차단모듈을 생성하여 상기 클라이언트 컴퓨터들에게 설치하는 업데이트서버를 포함하고,

상기 디도스공격차단모듈은 상기 클라이언트 컴퓨터에 설치되어 상기 클라이언트 컴퓨터로부터의 아웃바운드 패킷의 패턴과 상기 디도스 공격패턴을 비교하여 동일하면 상기 아웃바운드 패킷의 송출을 차단하도록 된 것을 특징으로 하는 분산서비스거부 공격 차단 시스템.
제 1 항에 있어서, 상기 디도스공격차단모듈은 상기 상기 디도스 공격패킷의 패턴과 동일한 패턴을 가지는 상기 아웃바운드 패킷을 생성한 프로세스를 강제 종료시키도록 된 것을 특징으로 하는 분산서비스거부 공격 차단 시스템.
제 1 항에 있어서, 상기 디도스공격차단모듈은 상기 클라이언트 컴퓨터의 데이터링크 레이어에서 패킷 필터링이 이루어지도록 하는 것을 특징으로 하는 분산서비스거부 공격 차단 시스템.
제 1 항에 있어서, 상기 디도스공격차단모듈은 상기 클라이언트 컴퓨터의 네트워크 레이어에서 패킷 필터링이 이루어지도록 하는 것을 특징으로 하는 분산서비스거부 공격 차단 시스템.
제 1 항에 있어서, 상기 디도스공격차단모듈은 상기 아웃바운드 패킷의 패턴과 상기 디도스 공격패턴이 동일하면 디도스 바이러스 감염 상태를 출력하도록 된 것을 특징으로 하는 분산서비스거부 공격 차단 시스템.
제 1 항에 있어서, 상기 디도스공격차단모듈은 상기 아웃바운드 패킷의 패턴과 상기 디도스 공격패턴이 동일하면 상기 아웃바운드 패킷을 생성한 프로세스의 복사본 또는 상기 이웃바운드 패킷을 생성한 프로세스를 생성한 파일 복사본을 상기 업데이트서버에게 제공하도록 된 것을 특징으로 하는 분산서비스거부 공격 차단 시스템.
클라이언트 컴퓨터들로부터 공격대상서버로 인바운드되는 패킷들의 출발지 IP 주소와 수신 횟수를 분석하여 디도스 공격 여부를 판단하고 디도스 공격패킷의 목적지 IP 주소와 디도스 공격방식을 포함한 디도스 공격패턴을 검출하는 디도스 패턴 검출단계와,

상기 디도스 공격패턴을 포함한 디도스공격차단모듈을 생성하여 상기 클라이언트 컴퓨터들에게 설치하는 업데이트단계를 포함하고,

상기 디도스공격차단모듈은 상기 클라이언트 컴퓨터에 설치되어 상기 클라이언트 컴퓨터로부터 아웃바운드되는 패킷의 패턴과 상기 디도스 공격패킷의 패턴을 비교하여 동일하면 상기 아웃바운드 패킷의 송출을 차단하도록 된 것을 특징으로 하는 분산서비스거부 공격 차단 방법.
제 7 항에 있어서, 상기 디도스공격차단모듈은 상기 디도스 공격패킷의 패턴과 동일한 패턴을 가지는 상기 아웃바운드 패킷을 생성한 프로세스를 강제 종료시키도록 된 것을 특징으로 하는 분산서비스거부 공격 차단 방법.
제 7 항에 있어서, 상기 디도스공격차단모듈은 상기 클라이언트 컴퓨터의 데이터링크 레이어에서 패킷 필터링이 이루어지도록 하는 것을 특징으로 하는 분산서비스거부 공격 차단 방법.
제 7 항에 있어서, 상기 디도스공격차단모듈은 상기 클라이언트 컴퓨터의 네트워크 레이어에서 패킷 필터링이 이루어지도록 하는 것을 특징으로 하는 분산서비스거부 공격 차단 방법.
제 7 항에 있어서, 상기 디도스공격차단모듈은 상기 아웃바운드 패킷의 패턴과 상기 디도스 공격패턴이 동일하면 디도스 바이러스 감염 상태를 출력하도록 된 것을 특징으로 하는 분산서비스거부 공격 차단 방법.
제 7 항에 있어서, 상기 디도스공격차단모듈은 상기 아웃바운드 패킷의 패턴과 상기 디도스 공격패턴이 동일하면 상기 아웃바운드 패킷을 생성한 프로세스의 복사본 또는 상기 이웃바운드 패킷을 생성한 프로세스를 생성한 파일 복사본을 상기 업데이트서버에게 제공하도록 된 것을 특징으로 하는 분산서비스거부 공격 차단 방법.