WO2015194885A1

WO2015194885A1 - 클라이언트 경로 제어 시스템을 활용한 장애유발 클라이언트 검출 방법 및 시스템

Info

Publication number: WO2015194885A1
Application number: PCT/KR2015/006194
Authority: WO
Inventors: 서정환; 임영석
Original assignee: 서정환; 임영석
Priority date: 2014-06-20
Filing date: 2015-06-18
Publication date: 2015-12-23
Also published as: US20170141984A1; CN106471772A; EP3160086A1; US10411981B2; EP3160086A4; CN106471772B; EP3160086B1; JP6367381B2; JP2017527152A; KR101569857B1

Abstract

클라이언트 경로제어 서버를 이용한 DDoS 공격지시자 IP 식별 방법 및 시스템이 개시된다. 그 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 방법은 에지서버 IP 할당 매트릭스를 형성하는 단계; 상기 에지 서버의 장애 발생을 체크하는 단계; 상기 에지서버의 장애가 발생되면 상기 에지서버 IP 할당 매트릭스에 따라 에지서버 IP를 할당하는 단계; 및 상기 에지서버 IP 할당 매트릭스에 따라 할당될 에지서버 IP가 없는 클라이언트 IP 또는 사용자 정보를 장애유발 클라이언트로 검출하는 단계를 포함하고, 상기 에지서버 IP 할당 매트릭스는 클라이언트의 IP또는 사용자 정보 별로 에지서버 IP가 서로 다르게 할당되며, 상기 에지서버 IP 할당은 클라이언트 IP 또는 사용자 정보 별로 적어도 두 단계(stage)의 에지서버 IP로 이루어진다.

Description

클라이언트 경로 제어 시스템을 활용한 장애유발 클라이언트 검출 방법 및 시스템

본 발명은 네트워크 장애를 유발하는 클라이언트 검출에 관한 것으로서, 특히 클라이언트 경로 제어 시스템을 활용한 장애 유발 클라이언트 검출 방법 및 시스템에 관한 것이다.

클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출, 예를 들어 DDoS 공격지시자 IP 식별은 여러 대의 에지서버(Edge Server)와 클라이언트 경로제어 서버(Client Route Control Server) 및 DNS(Domain Name Server)를 이용해 사용자가 접속할 에지 서버(Edge Server)를 지정함으로써, 클라이언트 경로를 제어하여 DDoS 공격을 탐지 및 식별하는 것을 말한다.

일반적으로 DDoS 공격은 2가지 형태로 나뉘어진다. 첫 번째 형태는 서버가 처리할 수 없을 정도의 작업량이 서버로 들어와 서버를 마비시키는 것이다. 이러한 공격이 발생할 경우 서버는 넘치는 작업량 때문에 다른 작업을 처리하지 못하여 서버가 마비된다.

그리고 두 번째 형태는 네트워크 회선에 트래픽(traffic)을 범람시켜 회선 자체를 아예 못쓰게 하는 방법이다. 이러한 공격은 서버 자체에는 문제가 없지만 서버와 연결된 회선 자체를 사용하지 못하는 상황이 발생하므로 서버와 클라이언트가 통신을 할 수 없게 된다. 즉 서버에는 문제가 없어도 네트워크 자체에 문제가 발생하므로 서비스 유지가 힘든 상황이 발생한다. 이런 상황에 대비하여 많은 DDoS 보안 기술이 나왔지만 근본적인 해결책이 되지 못하는 실정이다.

예를 들어 최근 많이 활용되고 있는 DDoS 방어 기술 중 허니넷(Honeynet)이 있다. 허니넷이란 다수의 허니팟(Honey Pot)으로 구성된 네트워크를 일컫는다. 여기서 허니 팟이란 외부의 다양한 공격을 유인해 해킹 경향을 파악할 수 있도록 구현한 가상 네트워크를 의미한다. 즉 서비스의 구성요소를 갖춘 가상 서비스를 일부러 DDoS 공격지시자에게 노출시켜 해킹을 유도하게 만드는 기술이다. 이 기술은 실제 서비스에 사용되는 서버에 영향을 주지 않고 해커를 탐지할 수 있기 때문에 각광받는 기술이기도 하다.

하지만 상기 허니넷을 구성하는 허니팟에는 몇 가지 단점이 있다. 첫째로 DDoS 공격 지시자가 허니팟을 식별할 경우 DDoS 공격 지시자는 상기 허니팟을 피해 또 다시 공격하게 된다. 즉 한번 사용한 허니팟은 다시 사용하기 힘들다는 점이 발생하게 된다. 또 허니팟을 사용하여 DDoS 공격지시자의 IP를 탐지할 경우 공격지시자가 허니팟에 충분한 근거자료를 남길 때까지 머무르게 할 필요가 있다는 것이다. 이는 DDoS 공격에 대해 재빠른 대처가 어렵다는 점을 의미한다. 그리고 상기 허니팟의 가장 큰 단점은 상술한 DDoS 공격 형태 중 네트워크 회선에 트래픽을 허용치 이상 발생시키는 공격이 발생할 경우 허니팟 자체가 무용지물이 된다는 점이다.

그리고 널 라우팅(Null Routing)을 사용하여 방어하는 방법이 있다. 널 라우팅이란 특정한 목적지로 향하는 패킷들을 Null 0이라는 가상 인터페이스에 포워딩(forwarding) 함으로써 패킷 차제를 삭제시키는 기술이다. 이 기술은 네트워크 장비에 과부하를 발생시키지 않고 서버로 가는 DDoS 패킷을 막을 수 있다는 장점이 있으나 IP 기반의 필터링만 제공하고, 서비스 포트나 컨텐츠에 의한 필터링은 불가능 하다는 단점을 가지고 있다.

이 외에 여러 가지 방어 기술이 있으나 이런 종래의 기술들은 한가지 공통적인 문제점을 가지고 있다. 종래의 DDoS 방어 기술은 DDoS 공격 자체는 막을 수 있으나 그 공격의 주체가 되는 공격지시자 IP를 탐색 및 식별할 수 없다.

그리고 DDoS 공격을 막기 위해 공격이 발생한 회선이나 IP 대역을 차단할 경우 해당 회선 및 대역에 속한 정상적인 사용자도 서비스를 이용할 수 없다는 문제점이 발생하게 된다. 이는 24시간 지속적으로 서비스를 유지해야 하는 금융, 공공기관, 게임 같은 서비스 제공자들에겐 치명적인 비용 및 시간 손해가 발생하게 된다.

본 발명이 해결하고자 하는 과제는 클라이언트 경로제어 서버(Client Route Control Server)가 복수의 단계(stage)로 배치된 에지서버(Edge Server)를 이용하여 여러 개의 경로를 조합하여 하나 뿐인 고유 경로를 각 클라이언트에게 제공함으로써 네트워크 장애를 유발하는 클라이언트를 탐지 및 검출하는, 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 방법을 제공하는 것이다.

본 발명이 해결하고자 하는 과제는 클라이언트 경로제어 서버(Client Route Control Server)가 복수의 단계(stage)로 배치된 에지서버(Edge Server)를 이용하여 여러 개의 경로를 조합하여 하나 뿐인 고유 경로를 각 클라이언트에게 제공함으로써 네크워크 장애를 유발하는 클라이언트를 탐지 및 식별하는, 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템을 제공하는 것이다.

상기 기술적 과제를 이루기 위한 본 발명에 의한, 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 방법은 에지서버 IP 할당 매트릭스를 형성하는 단계; 상기 에지 서버의 장애 발생을 체크하는 단계; 및 상기 에지서버의 장애가 발생되면 상기 에지서버 IP 할당 매트릭스에 따라 에지서버 IP를 할당하는 단계; 및 상기 에지서버 IP 할당 매트릭스에 따라 할당될 에지서버 IP가 없는 클라이언트 IP 또는 사용자 정보를 장애유발 클라이언트로 검출하는 단계를 포함한다. 상기 에지서버 IP 할당 매트릭스는 클라이언트의 IP또는 사용자 정보 별로 에지서버 IP가 서로 다르게 할당되며, 상기 에지서버 IP 할당은 클라이언트 IP 또는 사용자 정보 별로 적어도 두 단계(stage)의 에지서버 IP로 이루어질 수 있다.

상기 장애발생 체크는 클라이언트로부터 DNS 쿼리가 수신될 때 이루어질 수 있다. 또한 상기 장애발생 체크는 클라이언트로부터 DNS 쿼리에 상관없이 이루어질 수도 있으며, 에지서버의 장애가 발생하면 상기 장애가 발생한 에지서버를 사용하고 있는 클라이언트 IP 또는 사용자 정보를 검색하고, 상기 검색된 클라이언트 IP 또는 사용자 정보에 할당된 에지서버 IP를 상기 검색된 클라이언트에게 제공할 수 있다.

상기 클라이언트들은, 에지서버에 장애가 발생하면 상기 에지서버 IP 할당 매트릭스에 따라 할당되어 있는 다른 에지서버와 다시 연결하기 위해 상기 DNS 쿼리를 전송하는 에이전트를 포함할 수 있다. 상기 에이전트는, 사용자 정보를 포함한 DNS쿼리를 요청할 수 있다.

상기 DNS 쿼리에 포함될 수 있는 사용자 정보는 사용자를 식별 할 수 있는 정보 또는 장비를 식별할 수 있는 정보가 포함되며, 적어도 로그인ID, 디바이스 ID (MAC, CPU ID, HDD Serial, etc), 전화번호, IP Address 중 하나 이상의 정보를 포함한다.

본 발명에 의한 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 방법은, 상기 클라이언트의 에이전트로부터 DNS쿼리를 수신하면 클라이언트의 DNS 쿼리로부터 사용자 정보를 추출하고, 상기 에지서버 IP할당 매트릭스에 따라 상기 추출된 사용자 정보에 상응하는 에지서버 IP를 상기 클라이어트에게 할당할 수 있다.

본 발명에 의한 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 방법에서 사용되는 상기 에지서버는 클라이언트와 서버를 연결하며 서비스 중계 기능이 있거나 서비스 기능이 있는 프로그램, 서버 및 하드웨어 장비 중 적어도 하나를 포함할 수 있다.

상기 다른 기술적 과제를 이루기 위한 본 발명에 의한, 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 시스템은, 에지서버의 장애 발생을 체크하는 장애발생 체크부; 에지서버 IP 할당 매트릭스를 구비하고, 에지서버의 장애가 발생되면 상기 에지서버 IP 할당 매트릭스에 따라 에지서버 IP를 할당하는 에지서버 할당부; 클라이언트가 요청한 DNS 쿼리에 응답하여, 클라이언트 IP 또는 사용자 정보 별로 할당된 에지서버 IP를 제공하는 DNS 응답부; 및 상기 에지서버 IP 할당 매트릭스에 따라 할당될 에지서버 IP가 없는 클라이언트 IP 또는 사용자 정보를 장애유발 클라이언트로 검출하는 장애유발 클라이언트 검출부를 포함한다. 상기 에지서버 IP 할당 매트릭스는 클라이언트의 IP또는 사용자 정보 별로 에지서버 IP가 서로 다르게 할당되며, 상기 에지서버 IP 할당은 클라이언트 IP 또는 사용자 정보 별로 적어도 두 단계(stage)의 에지서버 IP로 이루어진다.

상기 장애발생 체크부는 DNS 쿼리에 응답하여 상기 에지서버 할당부에 의해 에지서버가 할당되면, 상기 할당된 에지서버에 장애가 있는지 체크하고, 상기 DNS 응답부는 상기 할당된 에지서버에 장애가 없으면, 상기 할당된 에지서버 정보를 DNS를 통해 클라이언트에게 제공한다.

또한 상기 장애발생 체크부는 DNS 쿼리에 상관없이 에지서버의 장애를 모니터링할 수도 있고, 이 때 상기 장애유발 클라이언트 검출부는 상기 에지서버의 장애가 발생하면, 상기 장애가 발생한 에지서버를 사용하고 있는 클라이언트 IP 또는 사용자 정보를 검색하는 클라이언트 검색부를 포함할 수 있다. 상기 에지서버 할당부는 상기 에지서버 IP 할당 매트릭스에 따라 상기 검색된 클라이언트 IP 또는 사용자 정보에 해당하는 에지서버 IP를 할당하고, 상기 DNS응답부는 상기 검색된 클라이언트 IP 또는 사용자 정보에 해당하는 클라이언트가 DNS 쿼리를 요청하면, 상기 검색된 클라이언트 IP 또는 사용자 정보에 할당된 에지서버 IP를 DNS를 통해 상기 검색된 클라이언트에게 제공할 수 있다.

또한 상기 장애발생 체크부는 DNS 쿼리에 상관없이 에지서버의 장애를 모니터링하고, 상기 장애유발 클라이언트 검출부는 상기 에지서버의 장애가 발생하면, 상기 장애가 발생한 에지서버를 사용하고 있는 클라이언트 IP 또는 사용자 정보를 검색하는 클라이언트 검색부를 포함하고, 상기 에지서버 할당부는 상기 에지서버 IP 할당 매트릭스에 따라 상기 검색된 클라이언트 IP 또는 사용자 정보에 해당하는 에지서버 IP를 할당하고, 상기 DNS응답부는 상기 DNS 쿼리에 상관없이, 상기 검색된 클라이언트 IP 또는 사용자 정보에 할당된 에지서버 IP를 상기 검색된 클라이언트에게 제공할 수도 있다.

상기 클라이언트는 에지서버에 장애가 발생하면 상기 에지서버 IP 할당 매트릭스에 따라 할당되어 있는 다른 에지서버와 다시 연결하기 위해 상기 DNS 쿼리를 전송하는 에이전트를 포함할 수 있다.

상기 에이전트는, 사용자 정보를 포함한 DNS쿼리를 요청할 수 있다. 상기 에지서버 할당부는 상기 클라이언트의 에이전트로부터 DNS쿼리를 수신하면 클라이언트의 DNS 쿼리로부터 사용자 정보를 추출하는 사용자 정보 추출부를 포함할 수 있다.

상기 에지서버는 클라이언트와 서버를 연결하며 서비스 중계 기능이 있거나 서비스 기능이 있는 프로그램, 서버 및 하드웨어 장비 중 적어도 하나를 포함할 수 있다.

그리고 상기 기재된 발명을 프로세서에 의해 실행되는 프로그램을 기록한 프로세서에 의해 읽을 수 있는 기록매체를 제공한다.

본 발명에 따른 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 방법 및 시스템에 의하면, 클라이언트에게 제공하는 서비스의 연속성이 보장된다. 즉, 클라이언트는 적어도 2개 이상의 경로를 사용할 수 있기 때문에 일부 경로에 장애가 발생하더라도 네트워크 통신을 지속적으로 유지할 수 있다.

그리고 본 발명의 다른 실시예에 의하면 각 클라이언트에 대해 하나 뿐인 고유 경로를 할당함으로써, DDoS 공격지시자 IP를 용이하게 식별해 내고 DDoS공격을 차단할 수 있다. 즉, 클라이언트 마다 사용하는 에지서버가 지정되어 있으므로 에지서버에 장애가 발생되면 장애를 발생시킨 클라이언트만 즉각적으로 찾아낼 수 있다. 이를 통해 장애를 발생시킨 클라이언트만 차단시킴으로 정상적으로 서비스를 사용중인 사용자에겐 영향을 미치지 않는다. 또한 DDoS 탐색을 위해 로그를 분석할 시간이 감소하므로 시간적 손해를 줄일 수 있다.

본 발명에 의하면 클라이언트 정보를 기반으로 경로를 지정하기 때문에 범용적이다. 다시 말해, 본 발명은 클라이언트 정보를 기반으로 경로를 지정하기 때문에 클라이언트가 어떠한 방법을 사용하건 반드시 경로 지정 시스템에 적용되어 그에 맞는 경로를 사용하게 된다. 이는 IP나 포트(Port)만으로 필터링하는 ACL이나 Null Routing 기법에 비해 상당히 범용적이라 할 수 있다.

또한 본 발명에 의하면 다양한 형태의 DDoS 공격을 방어하는 것이 가능하다. 본 발명은 에지서버를 사용함으로써 클라이언트는 서버와 직접 연결할 수 없게 된다. 이는 DDoS 공격지시자 역시 서버에 직접 간섭하는 것이 불가능 하다는 것을 의미하므로 서버에 DDoS 공격을 직접 가하는 것이 불가능 하다는 것을 뜻한다.

DDoS 공격지시자가 네트워크 회선에 공격을 가한다고 해도 해당 회선은 DDoS 공격 지시자만 연결되어 있으므로 이를 차단하여 다른 회선에 영향을 미치지 않고 방어하는 것이 가능하다.

무엇보다 적은 수의 에지서버로 하나의 경우의 수에 해당하는 DDoS 공격 지시자를 찾아낸다는 점에서 보안 유지를 위한 비용절감과 그에 필요한 장비와 관리에 필요한 인력 및 시간적 손실이 대폭 줄어든다.

도 1은 본 발명이 적용되는 전체 시스템의 구성에 대한 일 예를 블록도로 나타낸 것이다.

도 2는 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템의 포괄적인 구성을 블록도로 나타낸 것이다.

도 3은 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템의 제1실시예에 대한 구성을 블록도로 나타낸 것이다.

도 4는 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템의 제2실시예에 대한 구성을 블록도로 나타낸 것이다.

도 5는 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템의 제3실시예에 대한 구성을 블록도로 나타낸 것이다.

도 6은 도 2에 도시된 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템에서의 장애유발 클라이언트 검출 방법을 흐름도로 나타낸 것이다.

도 7은 도 3에 도시된 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템의 제1실시예에서의 장애유발 클라이언트 검출 방법을 흐름도로 나타낸 것이다.

도 8은 도 4에 도시된 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템의 제2실시예에서의 장애유발 클라이언트 검출 방법을 흐름도로 나타낸 것이다.

도 9는 도 5에 도시된 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템의 제3실시예에서의 장애유발 클라이언트 검출 방법을 흐름도로 나타낸 것이다.

도 10은 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 예를 들어 클라이언트 경로제어 서버를 이용한 DDoS 공격지시자 IP 식별 방법을 설명하기 위한 일 예를 나타낸 것이다.

도 11은 클라이언트 3이 DDoS 공격지시자 일 경우의 유니크(unique)한 경로, 1단계에서는 에지서버 1과 2단계에서는 에지서버 3'이 지정되어 있는 것을 나타낸 것이다.

도 12 및 도 13은 에지서버의 단계(stage)나 단계별 에지서버 개수가 늘어나도 경로 제어 알고리즘에 의해 클라이언트는 반드시 하나뿐인 경로만 가지게 되는 것을 나타내고 있다.

도 14는 클라이언트에게 에지서버가 지정된 전체적인 흐름을 나타내고 있다.

이하, 첨부된 도면을 참조로 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 바람직한 일 실시예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.

도 1은 본 발명이 적용되는 전체 시스템의 구성에 대한 일 예를 블록도로 나타낸 것이다. 본 발명은 복수의 클라이언트(100), DNS 서버(110), 클라이언트 경로제어 서버(120), 서비스 중계 네트워크(130), 서비스 서버(140)를 포함하여 이루어진다.

본 발명에서 서비스 중계 네트워크(130)는 서비스 중계 기능이 있거나 서비스 기능이 있는 서버 또는 하드웨어 장비를 포함하고 있는 에지서버와 게이트웨이(Gateway), 라우터(Router), 스위치(Switch), 허브(Hub) 등의 네트워크 장비로 이루어질 수 있다.

일반적으로 네트워크는 웹서버(Web Server), DNS등 여러 가지 서버와 게이트웨이(Gateway), 라우터(Router), 스위치(Switch), 허브(Hub) 등의 네트워크 장비를 포함할 수 있다. 이 중 서버는 클라이언트의 요청을 수신하고 상기 요청을 해결하는 역할을 주로 하고, 네트워크 장비는 클라이언트가 송수신할 패킷을 전달하는 역할을 한다. 이러한 장비들은 클라이언트로 부터 받은 패킷을 전송시간이 빠른 루트로 손실 없이 서버로 전달하고 서버는 클라이언트의 요청을 신속하게 처리하여 클라이언트로 전달한다. 하지만 이러한 장비들은 장비나 회선에 문제가 생겼을 경우 그 문제를 대처하는 능력이 부족하여 취약한 모습을 보여준다.

본 발명에서 사용되는 에지 서버는 본 발명을 실현하기 위한 용도로 프락시(proxy) 서버, 캐시(cache) 서버 등과 같이 서비스 중계 기능이 있거나 서비스 기능이 있는 서버 및 하드웨어 장비로 구현될 수 있다. 또한 상기 에지서버는 서비스 중계 기능이 있거나 서비스 기능이 있는 프로그램이 될 수도 있으며, 클라이언트가 접속하는 서비스 경로로 사용되며 클라이언트가 접속하는 서비스 서버의 역할을 할 수도 있다.

클라이언트(100)가 서버에 접속할 때 대부분의 클라이언트는 DNS를 이용하여 서비스 서버(140)와 접속한다. 본 발명은 에지서버(132, 134, 136, 138)와 이를 관리하는 클라이언트 경로제어 서버(Client Route Control Server, 이하 CRCS라 한다, 120), DNS의 특징과 복수의 경로를 조합하여 생성된 경로를 이용하여 이루어진다.

클라이언트(100)는 서비스를 받기 위해 서비스 서버(140)에 접속하는 데, 이 때 먼저 DNS 서버(110)를 통해 서비스 서버(140)의 IP를 제공받는다. 이를 위해 클라이언트(100)는 DNS 서버(110)에게 DNS쿼리를 전송한다.

DNS서버(110)는 클라이언트(102, 104)로부터DNS쿼리를 받아 해당하는 서비스 서버의 IP가 저장되어 있지 않으면 클라이언트 경로제어 서버(120)에게 DNS 쿼리를 전달한다.

클라이언트 경로제어 서버(120)는 DNS 서버(110)로부터 클라이언트의 DNS 쿼리를 받아 서비스 중계 네트워크(130)에 속하는 에지서버의 IP를 할당하고 할당된 에지서버의 IP를 DNS 서버(110)를 통해 클라이언트에게 전송한다.

클라이언트 경로제어 서버(CRCS, 120)를 보다 상세히 설명하면, 클라이언트 경로제어 서버(CRCS, 120)는 에지서버의 상태를 확인하고 클라이언트와 에지서버의 데이터를 관리한다. 그리고 클라이언트에게 에지서버 IP를 지정하여 전달한다. CRCS는 DNS 요청을 수신하고, 에지서버의 상태를 확인하고, 도메인 이름(domain name) 및 클라이언트IP또는 클라이언트 IP에 해당되는 에지서버의 IP를 지정하고, 지정 정보를 저장하고, DNS 응답을 전송할 수 있다.

DNS 쿼리를 요청한 클라이언트는 에지서버의 IP정보를 수신하고, 에지서버로 접속하여 서비스서버(140)로부터 서비스를 받는다.

좀 더 구체적으로 설명하면, 클라이언트(100)는 서버의 주소를 파악하기 위해 DNS 쿼리를 DNS 서버(110)로 요청한다. DNS서버(110)는 자신의 서버에 클라이언트가 요청한 도메인 이름(Domain Name)이 없을 경우 상위 DNS 서버에 요청하여 도메인 이름(Domain Name)에 해당하는 IP를 탐색한다.

DNS서버를 보다 상세히 설명하면, DNS서버는 클라이언트가 요청하는 도메인 이름을 수신하여 도메인 이름에 해당하는 IP로 응답하는 일반적인 DNS 장비가 될 수 있고, 또한 그에 상응하는 개념 및 기술을 포함할 수 있다. DNS서버는 클라이언트에게 도메인 이름에 해당하는 IP를 전송한다.

상술한 과정을 통해 DNS 쿼리는 클라이언트가 요청한 도메인 이름 및 클라이언트 IP를 가지고 있는 CRCS(120)로 오게 된다. 이 때 CRCS(120)은 경로 제어 알고리즘에 따라 클라이언트의 IP 별로 고유경로에 사용되는 에지서버의 IP를 준비한다.

도 2는 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템의 포괄적인 구성을 블록도로 나타낸 것이다. 도 2를 참조하면, 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템(20)에 대한 일 예는 에지서버 할당부(210), DNS응답부(215), 장애발생 체크부(230), 장애유발 클라이언트 검출부(220)를 포함하여 이루어진다.

장애발생 체크부(230)는 에지서버(240)에 장애가 발생했는지를 체크한다.

에지서버 할당부(210)는 에지서버 IP 할당 매트릭스(212)를 구비하고, 에지서버(240)에 장애가 발생되면 에지서버 IP 할당 매트릭스(212)를 참조하여 장애가 발생한 에지서버를 사용하고 있는 클라이언트에 에지서버 IP를 할당한다. 에지서버 IP 할당 매트릭스(212)는 클라이언트의 IP또는 사용자 정보 별로 에지서버 IP가 서로 다르게 할당되며, 상기 에지서버 IP 할당은 클라이언트 IP 또는 사용자 정보 별로 적어도 두 단계(stage)의 에지서버 IP로 이루어질 수 있다.

DNS응답부(215)는 클라이언트가 요청한 DNS 쿼리에 응답하여, 클라이언트 IP 또는 사용자 정보 별로 할당된 에지서버 IP를 제공한다.

장애유발 클라이언트 검출부(220)는 에지서버에 장애가 발생하여 장애가 발생한 에지서버를 사용하고 있는 클라이언트에게 에지서버 IP 할당 매트릭스(212)를 참조하여 에지서버 IP를 할당하고자 할 때, 할당될 에지서버 IP가 없는 클라이언트 IP 또는 사용자 정보를 장애유발 클라이언트로 검출한다.

여기서, 상기 에지서버는 프락시 서버, 캐시 서버 등과 같이 서비스 중계 기능이 있거나 서비스 기능이 있는 프로그램, 서버 또는 하드웨어 장비로 구현될 수 있다. 상기 에지서버는 클라이언트가 접속하는 서비스 경로로 사용되며, 클라이언트가 접속하는 서비스 서버의 역할을 수행할 수 있다.

서비스 중계 네트워크(240)는 서비스 중계 기능이 있거나 서비스 기능이 있는 서버 또는 장비의 개념을 포함하고 있는 에지서버와 게이트웨이(Gateway), 라우터(Router), 스위치(Switch), 허브(Hub) 등의 네트워크 장비로 이루어질 수 있다.

또한 클라이언트(260)에 탑재되어 있는 에이전트(262)는 상기 장애가 발생한 에지서버에 연결된 클라이언트들과 에지서버를 다시 연결하기 위해 상기 DNS로 쿼리를 요청할 수 있다.

도 2와 도 6을 참조하면, 우선 에지서버 IP 할당 매트릭스(212)를 형성한다.(S600단계) 에지서버 IP 할당 매트릭스(212)는 클라이언트의 IP또는 사용자 정보 별로 에지서버 IP가 서로 다르게 할당되며, 상기 에지서버 IP 할당은 클라이언트 IP 또는 사용자 정보 별로 적어도 두 단계(stage)의 에지서버 IP로 이루어진다.

장애발생 체크부(230)를 통해 상기 에지 서버에 장애가 발생되었는지를 체크한다.(S610단계)

장애발생 체크부(230)를 통해 에지서버의 장애 발생이 체크되면 상기 에지서버 IP 할당 매트릭스(210)를 참조하여 장애가 발생한 에지서버를 사용하고 있는 클라이언트에게 에지서버 IP를 할당한다.(S620단계)

이 때, 장애유발 클라이언트 검출부(22)는 상기 에지서버 IP 할당 매트릭스(212)를 참조하여 할당될 에지서버 IP가 없는 클라이언트 IP 또는 사용자 정보를 장애유발 클라이언트로 검출한다.(S630단계)

도 3은 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템의 제1실시예에 대한 구성을 블록도로 나타낸 것이다. 도 3을 참조하면, 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템(30)에 대한 제1실시예는 쿼리수신부(310), 에지서버 할당부(320), 장애유발 클라이언트 검출부(330), 장애발생 체크부(340), DNS응답부(350)를 포함하여 이루어진다.

쿼리수신부(310)는 클라이언트로부터 DNS 쿼리를 수신한 DNS 서버(305)가 DNS쿼리를 전달하면 이를 수신한다. 이 때 DNS 쿼리에 사용자 정보가 있으면 사용자 정보 추출부(312)는 DNS 쿼리에 포함된 사용자 정보를 추출한다.

에지서버 할당부(320)는 에지서버 IP 할당 매트릭스(322)를 구비하고, 에지서버 IP 할당 매트릭스(322)를 참조하여 상기 DNS 쿼리를 요청한 클라이언트에게 에지서버 IP를 할당한다. 여기서, 에지서버 IP 할당 매트릭스(322)는 클라이언트의 IP또는 사용자 정보 별로 에지서버 IP가 서로 다르게 할당되며, 상기 에지서버 IP 할당은 클라이언트 IP 또는 사용자 정보 별로 적어도 두 단계(stage)의 에지서버 IP로 이루어질 수 있다.

장애발생 체크부(230)는 상기 DNS 쿼리 수신부(310)가 DNS 쿼리를 수신하고, 에지서버 할당부(320)가 DNS 쿼리를 요청한 클라이언트에게 에지서버를 할당하면 상기 할당된 에지서버에 장애가 발생했는지를 체크한다.

DNS응답부(350)는 할당된 에지서버에 장애가 발생하지 않았으면, 상기 DNS 쿼리에 응답하여 클라이언트 IP 또는 사용자 정보 별로 할당된 에지서버 IP를 제공한다.

장애유발 클라이언트 검출부(330)는 상기 에지서버에 대한 장애 발생 체크결과 장애가 발생하고, 상기 장애가 발생한 에지서버를 사용하고 있는 클라이언트에게 에지서버 IP 할당 매트릭스(322)를 참조하여 에지서버 IP를 할당하고자 할 때, 할당될 에지서버 IP가 없는 클라이언트 IP 또는 사용자 정보를 장애유발 클라이언트로 검출한다.

서비스 중계 네트워크(360)는 서비스 중계 기능이 있거나 서비스 기능이 있는 서버 또는 장비의 개념을 포함하고 있는 에지서버와 게이트웨이(Gateway), 라우터(Router), 스위치(Switch), 허브(Hub) 등의 네트워크 장비로 이루어질 수 있다.

또한 클라이언트(380)에 탑재되어 있는 에이전트(382)는 상기 장애가 발생한 에지서버에 연결된 클라이언트들과 에지서버를 다시 연결하기 위해 상기 DNS로 쿼리를 요청할 수 있으며, 사용자 정보를 포함한 DNS쿼리를 요청할 수 있다.

도 3과 도 7을 참조하면, 우선 에지서버 IP 할당 매트릭스(312)를 형성한다.(S700단계)

DNS 쿼리 수신부(310)는 DNS서버(305)로부터 DNS쿼리를 수신한다.(S705단계)

그리고 사용자 정보 추출부(310)는 수신된 DNS 쿼리에 사용자 정보가 있는지 체크한다.(S710단계)

사용자 정보가 있으면 사용자 정보를 추출한다.(S715단계)

에지서버 할당부(322)는 에지서버 IP 할당 매트릭스(322)를 참조하여 추출된 사용자 정보에 상응하는 에지서버 IP를 할당한다.(S720단계)

한편, S710단계에서 DNS 쿼리에 사용자 정보가 없으면, 에지서버 할당부(322)는 에지서버 IP 할당 매트릭스(322)를 참조하여 DNS 쿼리를 요청한 클라이언트에게 할당된 에지서버 IP를 제공한다.(S725단계)

에지서버 IP가 할당되면, 장애발생 체크부(340)는 할당된 에지서버에 장애가 발생하였는지 체크한다.(S730단계)

장애발생 체크부(340)의 체크결과, 장애가 발생하지 않았으면 에지서버 할당부(320)에 의해 할당된 에지서버 IP를 제공한다.(S740단계)

만일 장애가 발생하였으면, 에저서버 IP 할당 매트릭스(322)를 참조하여 다음 단계의 에지서버 IP가 있는지 체크한다.(S745단계) 만일 할당될 다음 단계의 에지서버가 없으면 해당 클라이언트를 장애유발 클라이언트로 검출한다.(S750단계) 만일, 할당될 다음 단계의 에지서버 IP가 있으면 다음 단계의 에지서버 IP를 DNS 쿼리를 요청한 클라이언트에게 제공한다.(S755단계)

도 4는 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템의 제2실시예에 대한 구성을 블록도로 나타낸 것이다. 도 4를 참조하면, 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템(40)에 대한 제2실시예는 쿼리수신부(410), 에지서버 할당부(420), 장애유발 클라이언트 검출부(430), 장애발생 체크부(440), 클라이언트 검색부(450) 및 DNS응답부(460)를 포함하여 이루어진다.

장애발생 체크부(440)는 DNS 쿼리 수신에 상관없이 에지서버에 장애가 발생했는지를 모니터링한다.

클라이언트 검색부(450)는 장애발생 체크부(440)를 통해 장애가 발생한 에지서버가 검출되면, 상기 에지서버를 서비스 서버(460)로의 연결경로로 사용하고 있는 클라이언트를 검색한다.

에지서버 할당부(420)는 에지서버 IP 할당 매트릭스(422)를 구비하고, 에지서버에 장애가 발생되면 에지서버 IP 할당 매트릭스(422)를 참조하여 장애가 발생한 에지서버를 사용하고 있는 클라이언트에 에지서버 IP를 할당한다. 여기서, 에지서버 IP 할당 매트릭스(422)는 클라이언트의 IP또는 사용자 정보 별로 에지서버 IP가 서로 다르게 할당되며, 상기 에지서버 IP 할당은 클라이언트 IP 또는 사용자 정보 별로 적어도 두 단계(stage)의 에지서버 IP로 이루어질 수 있다.

쿼리수신부(410)는 클라이언트로부터 DNS 쿼리를 수신한 DNS 서버(305)가 DNS쿼리를 전달하면 이를 수신한다. 이 때 DNS 쿼리에 사용자 정보가 있으면 사용자 정보 추출부(412)는 DNS 쿼리에 포함된 사용자 정보를 추출한다.

DNS응답부(460)는 클라이언트가 요청한 DNS 쿼리에 응답하여, 클라이언트 IP 또는 사용자 정보 별로 할당된 에지서버 IP를 제공한다.

장애유발 클라이언트 검출부(430)는 에지서버에 장애가 발생하여 장애가 발생한 에지서버를 사용하고 있는 클라이언트에게 에지서버 IP 할당 매트릭스(422)를 참조하여 에지서버 IP를 할당하고자 할 때, 할당될 에지서버 IP가 없는 클라이언트 IP 또는 사용자 정보를 장애유발 클라이언트로 검출한다.

서비스 중계 네트워크(470)는 서비스 중계 기능이 있거나 서비스 기능이 있는 서버 또는 장비의 개념을 포함하고 있는 에지서버와 게이트웨이(Gateway), 라우터(Router), 스위치(Switch), 허브(Hub) 등의 네트워크 장비로 이루어질 수 있다.

또한 클라이언트(490)에 탑재되어 있는 에이전트(492)는 상기 장애가 발생한 에지서버에 연결된 클라이언트들과 에지서버를 다시 연결하기 위해 상기 DNS로 쿼리를 요청할 수 있으며, 사용자 정보를 포함한 DNS쿼리도 요청할 수 있다.

도 4와 도 8을 참조하면, 우선 에지서버 IP 할당 매트릭스(422)를 형성한다.(S800단계)

장애발생 체크부(440)는 DNS 쿼리 수신 여부에 상관 없이, 에지서버에 장애가 발생하는지 모니터링한다.(S810단계)

모니터링 결과 에지서버에 장애가 발생하면(S820단계), 클라이언트 검색부(450)는 장애가 발생된 에지서버를 서비스 서버(480)에 접근하기 위한 경로로 사용하고 있는 클라이언트를 검색한다.(S830단계)

상기 검색된 클라이언트에게 할당된 다음 단계의 에지서버 IP가 있는지 체크하여(S840단계), 다음 단계의 에지서버 IP가 없으면 장애유발 클라이언트 검출부(430)는 검색된 클라이언트를 장애유발 클라이언트로 검출한다.(S850단계)

다음 단계의 에지서버 IP가 있으면, 에지서버 할당부(420)는 다음 단계의 에지서버 IP를 할당한다.

그리고 나서 상기 검색된 클라이언트로부터 DNS 쿼리가 수신되면, DNS응답부(460)는 DNS 쿼리를 요청한 클라이언트에게 상기 할당된 에지서버 IP를 제공한다.(S880단계)

도 5는 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템의 제3실시예에 대한 구성을 블록도로 나타낸 것이다. 도 5를 참조하면, 본 발명에 따른 클라이언트 경로제어 서버를 이용한 장애유발 클라이언트 검출 시스템(50)에 대한 제3실시예는 장애발생 체크부(530), 클라이언트 검색부(540), 에지서버 할당부(550), 장애유발 클라이언트 검출부(560) 및 DNS응답부(570)를 포함하여 이루어진다.

장애발생 체크부(530)는 DNS 쿼리 수신에 상관없이 에지서버에 장애가 발생했는지를 모니터링한다.

클라이언트 검색부(540)는 장애발생 체크부(530)를 통해 장애가 발생한 에지서버가 검출되면, 상기 에지서버를 서비스 서버(590)로의 연결경로로 사용하고 있는 클라이언트를 검색한다.

에지서버 할당부(550)는 에지서버 IP 할당 매트릭스(552)를 구비하고, 에지서버에 장애가 발생되면 에지서버 IP 할당 매트릭스(552)를 참조하여 장애가 발생한 에지서버를 사용하고 있는 클라이언트에 에지서버 IP를 할당한다. 여기서, 에지서버 IP 할당 매트릭스(552)는 클라이언트의 IP또는 사용자 정보 별로 에지서버 IP가 서로 다르게 할당되며, 상기 에지서버 IP 할당은 클라이언트 IP 또는 사용자 정보 별로 적어도 두 단계(stage)의 에지서버 IP로 이루어질 수 있다.

DNS응답부(570)는 에지서버 할당부(550)를 통해 할당된 클라이언트 IP 또는 사용자 정보 별로 할당된 에지서버 IP를 DNS 쿼리와 상관없이 클라이언트 제공한다.

장애유발 클라이언트 검출부(560)는 에지서버에 장애가 발생하여 장애가 발생한 에지서버를 사용하고 있는 클라이언트에게 에지서버 IP 할당 매트릭스(552)를 참조하여 에지서버 IP를 할당하고자 할 때, 할당될 에지서버 IP가 없는 클라이언트 IP 또는 사용자 정보를 장애유발 클라이언트로 검출한다.

서비스 중계 네트워크(580)는 서비스 중계 기능이 있거나 서비스 기능이 있는 서버 또는 장비의 개념을 포함하고 있는 에지서버와 게이트웨이(Gateway), 라우터(Router), 스위치(Switch), 허브(Hub) 등의 네트워크 장비로 이루어질 수 있다.

또한 클라이언트(525)에 탑재되어 있는 에이전트(527)는 상기 장애가 발생한 에지서버에 연결된 클라이언트들과 에지서버를 다시 연결하기 위해 상기 DNS로 쿼리를 요청할 수 있다.

도 5와 도 9를 참조하면, 우선 에지서버 IP 할당 매트릭스(552)를 형성한다.(S900단계)

장애발생 체크부(530)는 에지서버에 장애가 발생하는지 모니터링한다.(S910단계)

모니터링 결과 에지서버에 장애가 발생하면(S920단계), 클라이언트 검색부(540)는 장애가 발생된 에지서버를 서비스 서버(590)에 접근하기 위한 경로로 사용하고 있는 클라이언트를 검색한다.(S930단계)

상기 검색된 클라이언트에게 할당된 다음 단계의 에지서버 IP가 있는지 체크하여(S940단계), 장애유발 클라이언트 검출부(560)는 다음 단계의 에지서버 IP가 없으면 검색된 클라이언트를 장애유발 클라이언트로 검출한다.(S950단계)

다음 단계의 에지서버 IP가 있으면, 에지서버 할당부(550)는 다음 단계의 에지서버 IP를 할당한다.(S960단계) 그리고 나서 DNS응답부(570)는 상기 검색된 클라이언트로부터 DNS 쿼리 수신에 상관 없이, 할당된 에지서버 IP를 상기 검색된 클라이언트 또는 클라이언트의 에이전트에게 제공할 수 있다.(S970단계)

도 10은 본 발명에 따른 클라이언트 경로제어 서버를 이용한 DDoS 공격지시자 IP 식별 방법을 설명하기 위한 일 예를 나타낸 것이다.

도 10을 참조하면, 16개의 클라이언트가 서버에 접속하려 할 경우 CRCS는 8개의 에지서버를 준비한다. 그리고 상기 에지서버를 4개씩 나누어 1단계(stage 1, 1010), 2단계(stage 2, 1020)로 관리한다. 에지서버의 총 개수는 클라이언트에 따라 임의로 변경할 수 있으며, 에지서버의 개수와 단계(stage)의 개수는 환경에 따라 바뀔 수 있다. 그리고 한 에지서버 당 연결되는 클라이언트 개수도 변경이 가능하다.

클라이언트는 CRCS에 의해 제공된 IP를 토대로 에지서버에 접속한다. 이 때 CRCS는 경로 제어 알고리즘에 따라 클라이언트와 연결 중인 제1단계(stage 1)의 에지서버에 문제가 발생할 경우를 대비하여 예비로 접속할 제2단계(stage 2)의 에지서버를 미리 지정한다. 이런 식으로 구성할 경우 클라이언트들은 표 1과 같은 경로를 가지게 된다.

표 1

클라이언트	사용중	예비
클라이언트	1단계	2단계
클라이언트 1	에지서버 1	에지서버 1'
클라이언트 2	에지서버 1	에지서버 2'
클라이언트 3	에지서버 1	에지서버 3'
클라이언트 4	에지서버 1	에지서버 4'
클라이언트 5	에지서버 2	에지서버 1'
클라이언트 6	에지서버 2	에지서버 2'
클라이언트 7	에지서버 2	에지서버 3'
클라이언트 8	에지서버 2	에지서버 4'
클라이언트 9	에지서버 3	에지서버 1'
클라이언트 10	에지서버 3	에지서버 2'
클라이언트 11	에지서버 3	에지서버 3'
클라이언트 12	에지서버 3	에지서버 4'
클라이언트 13	에지서버 4	에지서버 1'
클라이언트 14	에지서버 4	에지서버 2'
클라이언트 15	에지서버 4	에지서버 3'
클라이언트 16	에지서버 4	에지서버 4'

표 1을 참조하면, 클라이언트 1 내지 클라이언트 4는 제1단계의 에지서버 1을 통해 서버와 연결된다. 클라이언트 5 내지 클라이언트 8은 제1단계의 에지서버 2을 통해 서버와 연결된다. 클라이언트 9 내지 클라이언트 12는 제1단계의 에지서버 3을 통해 서버와 연결된다. 클라이언트 13 내지 클라이언트 16은 제1단계의 에지서버 4를 통해 서버와 연결된다. 그리고 제1단계의 에지서버 1 내지 에지서버 4중 어느 하나에 장애가 발생하면 장애가 발생한 에지서버를 사용한 클라이언트들은 제2단계의 에지서버 1'내지 에지서버 4'과 연결된다. 예를 들어 에지서버 2에 장애가 발생한 경우, 에지서버 2를 제1단계 에지서버로 사용한 클라이언트를 검색한다. 검색결과 에지서버 2를 제1단계 에지서버로 사용한 클라이언트는 클라이언트 5 내지 클라이언트 8 이다. 클라이언트가 검색되면 클라이언트 5 내지 클라이언트 8은 제2단계에 있는 에지서버와 연결된다. 따라서 클라이언트 5는 제2단계의 에지서버 1'과 연결되고, 클라이언트 6은 제2단계의 에지서버 2'과 연결되고, 클라이언트 7은 제2단계의 에지서버 3'과 연결되고, 클라이언트 8은 제2단계의 에지서버 4'과 연결된다. 이 후 에지서버 4'에 장애가 발생하면, 클라이언트 8이 DDoS 공격을 하는 클라이언트로 식별된다.

이와 같이 표 1과 같은 경로를 가지게 되면 하나의 클라이언트는 제1단계 및 제2단계의 에지서버에 지정됨으로 인해 반드시 하나 경로만 가지게 된다. 즉 각 클라이언트는 고유(unique)의 경로를 가지게 된다.

이와 같이 클라이언트에게 미리 연결할 에지서버를 지정함으로써 장애를 발생시킨 클라이언트를 쉽게 파악할 수 있다. 예를 들어 도 14에 도시된 바와 같이 클라이언트 3이 DDoS 공격지시자 일 경우 클라이언트 3는 표 1 을 참조하면 1단계(1410)에서는 에지서버 1과 2단계(1420)에서는 에지서버 3'이 에지서버로 지정되어 있다. 그리고 에지서버 1에 장애가 발생하면, 에지서버 1를 제1단계(1110) 에지서버로 사용한 클라이언트를 검색하게 되는데, 검색결과 클라이언트 1, 2, 3, 4가 검색된다. 검색된 클라이언트 1, 2, 3, 4는 본 발명에 의한 방법에 따라 예를 들어 제2단계(1120)의 에지서버에 각각 연결되어 CRCS는 각 클라이언트들에게 표 1처럼 지정된 예비 에지서버 즉 제2단계의 에지서버에 연결한다. 즉, 클라이언트 1은 제2단계의 에지서버 1'과 연결되고, 클라이언트 2는 제2단계의 에지서버 2'과 연결되고, 클라이언트 3은 제2단계의 에지서버 3'과 연결되고, 클라이언트 4는 제2단계의 에지서버 4'과 연결된다.

지정된 에지서버에 연결된 후에도 클라이언트는 다시 에지서버 3'로 공격을 시도한다고 하면, 에지서버 3'에는 클라이언트 3만 연결되어 있도록 지정 되어 있으므로 에지서버 3'에 장애가 생기면 클라이언트 3이 DDoS 공격지시자라는 것을 바로 알 수 있다. 표 2는 이러한 과정을 간명하게 나타내고 있다.

표 2

클라이언트	1단계	2단계
클라이언트 1	에지서버 1	에지서버 1'
클라이언트 2	에지서버 1	에지서버 2'
클라이언트 3	에지서버 1	에지서버 3'
클라이언트 4	에지서버 1	에지서버 4'

이러한 원리를 이용하면 8개의 에지서버로 16개의 클라이언트를 수용함과 동시에 DDoS 공격이 발생하여도 공격지시자 이외에는 서비스를 계속 유지시킬 수 있버의 단계(stage)가 늘어나거나 클라이언트의 수가 많아져도 마찬가지이다.

도 12 또는 도13 에 나타나 있는 바와 같이 에지서버의 단계(stage)나 단계별 에지서버 개수가 늘어나도 경로 제어 알고리즘에 의해 클라이언트는 반드시 하나뿐인 경로만 가지게 되므로 공격지시자 IP를 식별할 수 있다.

표 3

클라이언트	1단계	2단계	3단계
클라이언트 1	에지서버 1	에지서버 1'	에지서버 1"
클라이언트 2	에지서버 1	에지서버 1'	에지서버 2"
클라이언트 3	에지서버 1	에지서버 1'	에지서버 3"
클라이언트 4	에지서버 1	에지서버 1'	에지서버 4"
클라이언트 5	에지서버 1	에지서버 2'	에지서버 1"
클라이언트 6	에지서버 1	에지서버 2'	에지서버 2"
클라이언트 7	에지서버 1	에지서버 2'	에지서버 3"
클라이언트 8	에지서버 1	에지서버 2'	에지서버 4"
클라이언트 9	에지서버 1	에지서버 3'	에지서버 1"
클라이언트 10	에지서버 1	에지서버 3'	에지서버 2"
：：	：：	：：	：：
클라이언트 19	에지서버 2	에지서버 1'	에지서버 3"
：：	：：	：：	：：
클라이언트 64	에지서버 4	에지서버 4'	에지서버 4"

예를 들어 도 12에 도시된 바와 같이 클라이언트 2와 클라이언트 19가 DDoS 공격지시자 일 경우 클라이언트 2, 19는 표 3 을 참조하면 1단계(1210)에서는 에지서버 1과 에지서버 2로 지정되어 있고, 2단계(1220)에서는 에지서버 1'이 에지서버로 지정되어 있고, 3단계(1230)에서는 에지서버 2''과 에지서버 3''이 에지서버로 지정되어 있다.

따라서, 예를 들어, 제1단계(1210)의 에지서버 1에 장애가 발생하였다고 하면, 에지서버 1를 제1단계(1210) 에지서버로 사용한 클라이언트를 검색하게 되는데, 표 3을 참조하면 검색결과 클라이언트 1 - 16가 검색된다. 검색된 클라이언트 1 - 16는 본 발명에 의한 방법에 따라 제2단계(1220)에서는 클라이언트 1 -4는 에지서버 1', 클라이언트 5-8은 에지서버 2', 클라이언트 9-12은 에지서버 3', 클라이언트 13-16은 에지서버 4'을 에지서버로 사용한다.

그런데, 제2단계의 에지서버 1'에 장애가 발생하면, 에지서버 1'을 제2단계(1520) 에지서버로 사용한 클라이언트를 검색하게 되는데, 표 3을 참조하면 검색결과 클라이언트 1 - 4가 검색된다. 검색된 클라이언트 1 - 4는 본 발명에 의한 방법에 따라 제3단계(1230)에서는 클라이언트 1는 에지서버 1", 클라이언트 2은 에지서버 2", 클라이언트 3은 에지서버 3", 클라이언트 4은 에지서버 4"을 에지서버로 사용한다.

그런데, 제3단계의 에지서버 2"에 장애가 발생하면, 에지서버 2"를 에지서버로 사용한 클라이언트는 클라이언트 2가 된다. 따라서 에지서버 1, 에지서버 1', 에지서버 2"에 장애를 일으킨 클라이언트는 클라이언트 2임을 알 수 있게 된다. 즉, 클라이언트 2가 DDoS 공격지시자라는 것을 바로 알 수 있다. 표 3는 이러한 과정을 간명하게 나타내고 있다.

마찬가지로 클라이언트 19는 제1단계(1210)의 에지서버 2, 제2단계(1520)의 에지서버 1', 제3단계(1230)의 에지서버 3"를 에지서버로 단계적으로 사용하고 있으므로, 제1단계(1210)의 에지서버 2, 제2단계(1220)의 에지서버 1', 제3단계(1530)의 에지서버 3"에서 순차적으로 장애가 발생하면, 장애를 일으킨 클라이언트는 클라이언트 19 임을 바로 알 수 있게 된다. 즉, 클라이언트 19가 DDoS 공격지시자라는 것을 바로 알 수 있다. 표 3는 이러한 과정을 간명하게 나타내고 있다.

표 4

클라이언트	1 단계	2 단계	3 단계	4 단계
클라어인트 1	에지서버 1	에지서버 1'	에지서버 1"	에지서버 1"'
클라어인트 2	에지서버 1	에지서버 1'	에지서버 1"	에지서버 2"'
클라어인트 3	에지서버 1	에지서버 1'	에지서버 1"	에지서버 3"'
클라어인트 4	에지서버 1	에지서버 1'	에지서버 1"	에지서버 4"'
클라어인트 5	에지서버 1	에지서버 1'	에지서버 1"	에지서버 5"'
클라어인트 6	에지서버 1	에지서버 1'	에지서버 1"	에지서버 6"'
클라어인트 7	에지서버 1	에지서버 1'	에지서버 1"	에지서버 7"'
클라어인트 8	에지서버 1	에지서버 1'	에지서버 1"	에지서버 8"'
클라어인트 9	에지서버 1	에지서버 1'	에지서버 1"	에지서버 9"'
：：	：：	：：	：：	：：
클라어인트 n	에지서버 256	에지서버 256'	에지서버 256"	에지서버 256"'

한편, 본 발명의 다른 실시예에 의하면, 클라이언트가 16개일 경우, 미리 표 1과 같은 고유 경로를 할당하고, 클라이언트 1이 DNS쿼리를 요구하면 1단계에는 에지서버 1을 할당하고, 2단계는 에지서버 1'을 할당하여 1단계와 2단계 에지서버 IP들을 클라이언트에게 전송하고 클라이언트는 1단계 에지버서1과 2단계 에지서버 1'을 사용하도록 한다. 이렇게 표 1과 같이 모든 클라이언트에게 이와 같이 1단계와 2단계의 에지서버를 모두 사용하게 하면, 장애가 발생하면 장애가 발생한 에지서버에 대한 다음 단계의 에지서버를 다시 연결할 필요 없이 한 번에 장애를 일으킨 클라이언트들 바로 식별할 수 있다.

예를 들어 1단계의 에지서버 2와 2단계의 에지서버 4'에 장애가 발생하면, 표 1을 참조하면, 장애를 일으킨 클라이언트는 클라이언트 8임을 바로 식별해 낼 수 있다.

도 15과 도 16와 같이 3단계, 4단계를 갖는 경우에도 표 3과 표 4에서와 같은 알고리즘으로 에지서버를 할당하면, 각 단계에서 장애가 발생한 에지서버들을 체크하면 표 3, 표 4를 참조하면 장애를 일으킨 클라이언트를 바로 식별해 낼 수 있다.

그리고 도 14은 클라이언트에게 에지서버가 지정된 전체적인 흐름을 나타내고 있다. 클라이언트(1400)로부터 DNS 쿼리를 받으면 DNS서버(1340)는 클라이언트 경로제어 서버(1450)에게 DNS쿼리에 대한 응답을 요청하고, 클라이언트 경로제어 서버(1250)는 DNS쿼리를 요청한 클라이언트에게 에지서버의 IP를 제공한다. 제1실시에에 따른 에지서버 할당 알고리즘에서는 1단계(1410)에 속하는 에지서버의 IP만 제공하지만, 제2실시예에 따른 에지서버 할당 알고리즘에서는 모든 단계 즉 1단계(1410), 2단계(1420), 3단계(1430)에 속하는 에지서버들의 IP모두를 제공한다.

이렇게 제공된 에지서버들의 IP를 통해 클라이언트(100)는 에지서버들을 통해 서비스 서버(미도시)에 접속하여 서비스를 받는다.

이상에서 본 발명에 따른 클라이언트 경로제어 서버를 이용한 DDoS 공격지시자 IP 식별 방법 및 시스템은 다음과 같은 특징을 가진다.

첫째, 각 클라이언트에게는 하나의 고유 경로를 할당한다. 일반적인 라우터 혹은 브릿지 같은 네트워크 장비는 패킷을 신속하고 안전하게 보내기 위한 용도이기 때문에 많은 회선이 연결되어 있다. 이는 일부 회선에 문제가 생길 경우 다른 회선으로 패킷을 다시 송신해 서비스를 원활하게 할 수 있다는 장점을 가지고 있으므로 네트워크 인프라 상으로는 안정적으로 패킷 통신이 유지될 수 있다.

하지만 이런 점으로 인해 클라이언트가 여러 개의 회선을 사용하게 되어 클라이언트가 DDoS 공격지시자 일 경우 공격지시자라는 판단을 내릴 경우의 수가 많아지게 된다. 즉 DDoS 공격지시자라고 확정지을 범위가 너무 넓어지게 된다.

본 발명에서의 경로 지정 알고리즘은 CRCS의해 설정된 고유의 경로와 단계별로 구분된 에지서버로 인해 클라이언트에게는 표 1, 표3, 표 4와 같은 반드시 하나뿐인 경로가 발생한다.

둘째는 하나뿐인 경로를 이용함으로써 DDoS 공격 지시자의 IP를 탐색할 수 있다. 일반적인 네트워크는 회선에 문제가 생길 경우를 대비하여 예비로 여러 개의 회선을 두어 통신이 끊기지 않도록 한다. 이는 DDoS 공격지시자 일 경우 많은 회선으로 인해 생긴 경우의 수 때문에 공격지시자 IP를 단정지을 수 없다는 단점이 발생한다.

하지만 본 발명에서는 각 클라이언트에게는 하나뿐인 경로가 할당되고, 클라이언트가 CRCS에 의해 관리되므로 클라이언트가 접속할 회선이 고정되어 있다. 이는 회선에 DDoS 공격이 발생하면 그 회선을 사용하는 클라이언트는 반드시 하나이므로 문제를 일으킨 클라이언트를 DDoS 공격지시자 IP라고 판단할 수 있고 즉각적으로 대처가 가능하다.

셋째로는 에지서버의 존재이다. 라우터나 브릿지처럼 네트워크에서 다리역할을 하는 장비는 클라이언트와 서버를 연결해 주는 역할을 한다. 하지만 클라이언트가 라우터나 브릿지를 통과할 경우 클라이언트는 무수히 많은 경로로 이동하는 것이 가능하다. 설사 라우터나 브릿지로 단 하나의 경로만 제공한다 하더라도 현재 네트워크처럼 구성하는 데는 장비 특성상 막대한 비용이 발생하게 된다. 본 발명에서 에지서버는 클라이언트가 연결할 수 있는 경로 역할 및 서버의 존재를 감추는 역할을 한다.

넷째, 클라이언트 경로제어 서버(CRCS)의 존재이다. CRCS는 도메인 네임에 해당하는 IP을 지정해주는 역할 뿐만 아니라 에지서버와 클라이언트의 정보를 관리하는 역할을 하고 있다. 이와 비슷한 역할을 하는 서버로서 DNS 서버와 모니터링 서버가 존재한다.

하지만 일반적인 DNS 서버는 단순히 도메인 네임과 IP를 지정해 주는 역할만 한다. 그리고 네임 서버에 부담을 주지 않게 하기 위해 보통 3시간 내지 1주일 혹은 그 이상까지 지정된 도메인 네임 주소를 서버에 남긴다. 이는 서버에 부담을 주지 않는다는 점에선 확실한 장점이지만 본 발명에서 구현하고자 하는 시스템은 상황에 따라 도메인 네임과 지정될 에지서버 IP를 즉각적으로 바꿔야 하므로 DNS 시스템은 본 발명이 추구하는 기능을 만족할 수 없다.

그리고 모니터링 서버 역시 단순히 모니터링 하는 장비의 상태를 파악하고 그에 대한 정보를 산출하는 역할에 그치므로 본 발명이 추구하는 기능을 제대로 만족할 수 없다.

따라서 본 발명을 실현하기 위한 기능을 포함하고 있는 별도의 클라이언트 경로 제어 서버(Client Route Control Server)가 필요하게 됩니다.

다섯째, DNS를 이용해 클라이언트에게 에지서버 IP를 송신한다. CRCS는 클라이언트에게 도메인 네임에 해당하는 에지서버 IP를 지정해주긴 하지만 이를 클라이언트로 직접 송신해주지는 않는다. 따라서 지정된 정보를 별도로 DNS에게 전송하여 클라이언트가 에지서버의 IP를 알 수 있도록 한다.

본 발명은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터(정보 처리 기능을 갖는 장치를 모두 포함한다)가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 장치의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있다.

본 발명은 도면에 도시된 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.

본 발명은 클라이언트에게 제공하는 서비스의 연속성이 보장되는 시스템에 이용가능하며, 특히 다양한 형태의 DDoS 공격을 방어하는 데에도 이용가능하다.

Claims

에지서버 IP 할당 매트릭스를 형성하는 단계;

상기 에지 서버의 장애 발생을 체크하는 단계; 및

상기 에지서버의 장애가 발생되면 상기 에지서버 IP 할당 매트릭스에 따라 에지서버 IP를 할당하는 단계; 및

상기 에지서버 IP 할당 매트릭스에 따라 할당될 에지서버 IP가 없는 클라이언트 IP 또는 사용자 정보를 장애유발 클라이언트로 검출하는 단계를 포함하고,

상기 에지서버 IP 할당 매트릭스는

클라이언트의 IP또는 사용자 정보 별로 에지서버 IP가 서로 다르게 할당되며, 상기 에지서버 IP 할당은 클라이언트 IP 또는 사용자 정보 별로 적어도 두 단계(stage)의 에지서버 IP로 이루어지는, 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 방법.
제1항에 있어서, 상기 장애발생 체크는

클라이언트로부터 DNS 쿼리가 수신될 때 이루어지는 것을 특징으로 하는 클라이언트 경로제어 시스템을 활용한 장애유발IP 검출 방법.
제1항에 있어서, 상기 장애발생 체크는

클라이언트로부터 DNS 쿼리에 상관없이 이루어지는 것을 특징으로 하는 클라이언트 경로제어 시스템을 활용한 장애유발IP 검출 방법.
제3항에 있어서,

에지서버의 장애가 발생하면, 상기 장애가 발생한 에지서버를 사용하고 있는 클라이언트 IP 또는 사용자 정보를 검색하고, 상기 검색된 클라이언트 IP 또는 사용자 정보에 할당된 에지서버 IP를 상기 검색된 클라이언트에게 제공하는 것을 특징으로 하는 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 방법.
제1항에 있어서, 상기 클라이언트들은,

에지서버에 장애가 발생하면 상기 에지서버 IP 할당 매트릭스에 따라 할당되어 있는 다른 에지서버와 다시 연결하기 위해 상기 DNS 쿼리를 전송하는 에이전트를 포함하는 것을 특징으로 하는 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 방법.
제5항에 있어서, 상기 에이전트는,

사용자 정보를 포함한 DNS쿼리를 요청하는 것을 특징으로 하는 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 방법.
제6항에 있어서,

상기 클라이언트의 에이전트로부터 DNS쿼리를 수신하면 클라이언트의 DNS 쿼리로부터 사용자 정보를 추출하고, 상기 에지서버 IP할당 매트릭스에 따라 상기 추출된 사용자 정보에 상응하는 에지서버 IP를 상기 클라이어트에게 할당하는 것을 특징으로 하는 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 방법.
에지서버의 장애 발생을 체크하는 장애발생 체크부;

에지서버 IP 할당 매트릭스를 구비하고, 에지서버의 장애가 발생되면 상기 에지서버 IP 할당 매트릭스에 따라 에지서버 IP를 할당하는 에지서버 할당부;

클라이언트가 요청한 DNS 쿼리에 응답하여, 클라이언트 IP 또는 사용자 정보 별로 할당된 에지서버 IP를 제공하는 DNS 응답부; 및

상기 에지서버 IP 할당 매트릭스에 따라 할당될 에지서버 IP가 없는 클라이언트 IP 또는 사용자 정보를 장애유발 클라이언트로 검출하는 장애유발 클라이언트 검출부를 포함하고,

상기 에지서버 IP 할당 매트릭스는

클라이언트의 IP또는 사용자 정보 별로 에지서버 IP가 서로 다르게 할당되며, 상기 에지서버 IP 할당은 클라이언트 IP 또는 사용자 정보 별로 적어도 두 단계(stage)의 에지서버 IP로 이루어지는, 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 시스템.
제8항에 있어서, 상기 장애발생 체크부는

DNS 쿼리에 응답하여 상기 에지서버 할당부에 의해 에지서버가 할당되면, 상기 할당된 에지서버에 장애가 있는지 체크하고,

상기 DNS 응답부는

상기 할당된 에지서버에 장애가 없으면, 상기 할당된 에지서버 정보를 DNS를 통해 클라이언트에게 제공하는 것을 특징으로 하는 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 시스템.
제8항에 있어서, 상기 장애발생 체크부는

DNS 쿼리에 상관없이 에지서버의 장애를 모니터링하고,

상기 장애유발 클라이언트 검출부는

상기 에지서버의 장애가 발생하면, 상기 장애가 발생한 에지서버를 사용하고 있는 클라이언트 IP 또는 사용자 정보를 검색하는 클라이언트 검색부를 포함하고,

상기 에지서버 할당부는

상기 에지서버 IP 할당 매트릭스에 따라 상기 검색된 클라이언트 IP 또는 사용자 정보에 해당하는 에지서버 IP를 할당하고,

상기 DNS응답부는

상기 검색된 클라이언트 IP 또는 사용자 정보에 해당하는 클라이언트가 DNS 쿼리를 요청하면, 상기 검색된 클라이언트 IP 또는 사용자 정보에 할당된 에지서버 IP를 DNS를 통해 상기 검색된 클라이언트에게 제공하는 것을 특징으로 하는 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 시스템.
제8항에 있어서, 상기 장애발생 체크부는

DNS 쿼리에 상관없이 에지서버의 장애를 모니터링하고,

상기 장애유발 클라이언트 검출부는

상기 에지서버의 장애가 발생하면, 상기 장애가 발생한 에지서버를 사용하고 있는 클라이언트 IP 또는 사용자 정보를 검색하는 클라이언트 검색부를 포함하고,

상기 에지서버 할당부는

상기 에지서버 IP 할당 매트릭스에 따라 상기 검색된 클라이언트 IP 또는 사용자 정보에 해당하는 에지서버 IP를 할당하고,

상기 DNS응답부는

상기 DNS 쿼리에 상관없이, 상기 검색된 클라이언트 IP 또는 사용자 정보에 할당된 에지서버 IP를 상기 검색된 클라이언트에게 제공하는 것을 특징으로 하는 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 시스템.
제8항에 있어서, 상기 클라이언트는

에지서버에 장애가 발생하면 상기 에지서버 IP 할당 매트릭스에 따라 할당되어 있는 다른 에지서버와 다시 연결하기 위해 상기 DNS 쿼리를 전송하는 에이전트를 포함하는 것을 특징으로 하는 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 시스템.
제12항에 있어서, 상기 에이전트는,

사용자 정보를 포함한 DNS쿼리를 요청하는 것을 특징으로 하는 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 시스템.
제8항에 있어서, 상기 에지서버는

클라이언트와 서버를 연결하며 서비스 중계 기능이 있거나 서비스 기능이 있는 프로그램, 서버 및 하드웨어 장비 중 적어도 하나를 포함하는 것을 특징으로 하는 클라이언트 경로제어 시스템을 활용한 장애유발 클라이언트 검출 시스템.
제1항에 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.