KR100994076B1 - 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법 - Google Patents

엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법 Download PDF

Info

Publication number
KR100994076B1
KR100994076B1 KR1020100033216A KR20100033216A KR100994076B1 KR 100994076 B1 KR100994076 B1 KR 100994076B1 KR 1020100033216 A KR1020100033216 A KR 1020100033216A KR 20100033216 A KR20100033216 A KR 20100033216A KR 100994076 B1 KR100994076 B1 KR 100994076B1
Authority
KR
South Korea
Prior art keywords
data
client
web server
packet
virtual
Prior art date
Application number
KR1020100033216A
Other languages
English (en)
Inventor
조학수
노영국
Original Assignee
주식회사 나우콤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 나우콤 filed Critical 주식회사 나우콤
Priority to KR1020100033216A priority Critical patent/KR100994076B1/ko
Application granted granted Critical
Publication of KR100994076B1 publication Critical patent/KR100994076B1/ko
Priority to JP2011045597A priority patent/JP5392507B2/ja
Priority to US13/039,373 priority patent/US8434141B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 DDOS 공격 방어 장비를 위한 NAT 에서 정상 사용자 차단 방지 기술에 관한 것으로, 보다 상세하게는 동일한 외부 아이피를 갖게 되는 NAT에 있는 공격자 PC와 정상 사용자 PC를 구분하기 위한 발명으로 공격자 PC 의 웹페이지 요청은 차단하고 정상 사용자 PC의 웹페이지 요청은 처리하여 정상 사용자 PC의 인터넷 서비스가 가능하도록 하기 위한 DDOS 공격 방어 장비를 위한 NAT 에서 정상 사용자 차단 방지 기술 에 관한 것이다.
이와 같은 본 발명의 특징은 동일한 외부 아이피를 갖게 되는 NAT 로 구성된 망에서 동일한 아이피를 갖는 공격자 PC 와 정상 사용자 PC 를 구분하기 위한 발명으로 공격자는 블랙리스트룰 테이블에 의해 차단하고 정상 사용자의 트래픽은 웹서버 호스트 주소를 가상 아이피로 변경하여 블랙리스트룰 테이블에 의해 차단되지 않고 통과 시켜 정상 사용자의 웹서비스를 가능하게 하는 것을 특징으로 한다.

Description

엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법{NAT-ENABLED SYSTEM TO PREVENT THE BLOCKING OF A NORMAL CLIENT'S WEB SERVICE USING NAT AND CONTROL METHOD THEREOF}
NAT를 사용하는 네트워크로부터 공격자가 웹서버에 과도한 TCP 세션 연결 요청이나 웹페이지 요청 등의 과도한 트래픽을 보내어 정상 사용자로 하여금 원활한 웹서비스를 받을 수 없도록 하는 DDOS 공격을 차단하고 공격자와 동일한 아이피를 사용하는 정상 사용자는 웹서비스를 정상적으로 이용할 수 있도록 하는 NAT 지원 DDOS 보안 장비에 관한 기술이다.
일반적으로 NAT와 관련하여 볼 때, 현재 인터넷 주소 체계는 32 비트로 인터넷의 공인 아이피 주소는 개수가 한정되어 있다.
NAT(Network Address Translation) 기술을 사용하면 하나의 공인 아이피를 내부 네트워크의 여러 대의 PC 가 동시에 동일한 외부 아이피를 사용할 수 있다.
또한 NAT를 사용하면 외부 공격으로부터 사용자의 침입을 보호하는 수단으로 활용할 수 있어 많은 네트워크 망에서 사용하는 일반적인 기술이다.
이에 공격 PC 가 NAT를 사용하는 네트워크 망에 있는 경우 동일한 공인 아이피를 사용하는 모든 정상 사용자는 공격 PC 한 대의 아이피 차단으로 인하여 NAT 망에 있는 모든 정상 사용자들을 포함하여 인터넷 서비스를 받을 수 없게 된다.
현재 많은 DDOS 장비들은 웹서버를 보호하고, 과도한 네트워크 트래픽을 막기 위해 아이피 기반 차단 방법을 많이 사용 하고 있다.
보안 장비들에서는 네트워크에서 설정한 트래픽 임계치 이상의 TCP 연결이 탐지되면 해당 아이피는 일정시간 차단되고, 같은 아이피를 사용하는 사용자 PC 들도 네트워크 서비스를 사용할 수 없게 되는 한계를 갖고 있다.
삭제
상기와 같은 문제점을 해소하기 위한 본 발명은 DDOS (Distribute Denial of Service) 공격으로 탐지되는 아이피를 블랙리스트로 등록하여 공격 트래픽을 차단하고, NAT 에서 동일한 아이피를 사용하는 정상 사용자는 차단되지 않고 웹서비스를 이용하도록 하기 위한 기술이다.
즉 DDOS 공격을 탐지하는 보안장비에서 임계치 이상의 과도한 트래픽을 탐지할 경우 해당 아이피를 블랙 리스트에 등록하게 되는데 아이피를 차단할 경우 NAT 에 있는 모든 정상 사용자도 차단되는 문제점을 해결하기 위하여 정상 사용자는 차단하지 않기 위한 목적으로 한다.
이를 위한 본 발명에 따른 패킷 송수신 처리기, 블랙리스트룰 테이블, TCP SYN PROXY 처리기, URL Redirect 처리 장치, 가상 아이피 복원 장치, 가상 아이피 변환 장치가 구비된다.
상기와 같은 목적을 달성하기 위한 본 발명은, 클라이언트로부터 패킷을 수신받고 정보데이터를 전송하는 패킷수신부, 패킷송신부와; 상기 패킷수신부로부터 패킷 정보를 전송받고, 패킷송신부로 데이터를 전송하는 NAT데이터처리부(30)가 포함되어 구비되고, 상기 NAT데이터처리부(30)에는, 블랙리스트룰테이블에 저장된 패킷 정보의 데이터와 매칭 판별하여, 매칭되는 해당 클라이언트와의 TCP 세션 연결 이외의 패킷을 차단하도록 하는 블랙리스트룰테이블매칭부(31); 상기 블랙리스트룰테이블매칭부(31)를 통해 매칭판별된 해당 클라이언트의 요청 데이터가 TCP 세션 연결 패킷인 경우에, 웹서버를 대신하여 TCP SYN-ACK 응답을 생성하여 전송되도록 하는 TCP SYN PROXY 처리부(32)가 구비되어, TCP 세션 연결 과정을 처리한다.
이에 상기 NAT데이터처리부(30)에는, 해당 클라이언트의 요청 데이터가 해당 웹서버의 웹페이지 요청 패킷인 경우에, 해당 웹서버의 가상 아이피로 변환된 응답 데이터와, 클라이언트가 웹서버에 대한 세션 연결을 끊고 가상 아이피 주소로 접속을 하도록 하는 URL Moved 혹은 URL Redirect HTTP 데이터가 포함되도록 하여 패킷 송신부(23)를 통하여 해당 클라이언트 측으로 전송되도록 하는 URL Redirect 처리부(33)가 더 구비될 수 있다.
또한 상기 NAT데이터처리부(30)에는, 클라이언트로부터 패킷을 수신받아 가상 웹서버 아이피를 실제 웹서버 아이피로 복원 처리하고, 실제 웹서버 측으로 패킷을 전송하도록 하는 가상 아이피 복원부(35)와; 클라이언트의 요청에 따라 웹서버로부터 수신받은 패킷에 대해, 클라이언트에 전송되었던 패킷을 웹서버의 가상 아이피로 변환되어 패킷 송신이 이루어지도록 하는 가상 아이피 변환부(34)가 더 포함되어 구비될 수 있다.
그리고 상기 블랙리스트룰테이블매칭부(31)의 블랙리스트룰테이블에는 공격자 클라이언트의 소스 아이피 데이터, 웹서버의 목적지 아이피 데이터, 웹서버의 목적지 포트 데이터가 포함되어 구비될 수 있다.
이에 더하여 본 발명은, 클라이언트와 웹서버 사이에 연결되도록 구비되고, 클라이언트로부터 웹서버의 정보 요청에 대한 데이터를 수신받도록 구비되며, 블랙리스트룰테이블에 대한 매칭 판별로, 매칭판별된 클라이언트의 TCP 세션 연결 이외의 패킷은 차단되도록 구비되고, 해당 웹서버의 가상 아이피 정보 데이터와 현재 세션 연결을 끊도록 하는 데이터를 클라이언트 측으로 전송하도록 구비되며, 해당 클라이언트 측으로부터 해당 웹서버에 대한 가상 아이피 정보로 웹서버의 정보 요청한 경우에는 정상사용자로 판별하여 처리되도록 구비되는 것을 특징으로 하는 DDOS 공격 방어 장비를 위한 NAT 망용 웹서비스 정상사용자차단방지시스템이 제공될 수 있다.
나아가 본 발명은, 클라이언트 측으로부터 웹서버의 정보 요청에 대한 데이터를 수신받는 웹서버 정보요청수신단계(S01); NAT데이터처리부(30)의 블랙리스트룰테이블매칭부(31)에서 클라이언트로부터 전송된 데이터와 블랙리스트룰테이블의 데이터를 매칭판별하는 블랙리스트매칭판별단계(S02); 상기 블랙리스트매칭판별단계(S02)에 의하여 해당 클라이언트의 정보가 블랙리스트룰테이블의 데이터와 매칭되는 경우에는, 해당 클라이언트에 대한 TCP 세션 연결 이외의 패킷은 차단되도록 하는 매칭차단단계(S03); 상기 매칭차단단계(S03)에 따라 매칭된 클라이언트의 패킷이 TCP 세션 연결 패킷인 경우, TCP SYN PROXY 처리부(32)에서 웹서버를 대신하여 TCP SYN-ACK 응답을 생성하여 패킷 전송되도록 하는 응답데이터전송단계(S04); 상기 매칭차단단계(S03)에 따라 매칭된 클라이언트의 패킷이 웹페이지 요청 패킷인 경우, URL Redirect 처리부(33)에서 해당 웹서버에 대한 가상 아이피 정보로 변환된 정보데이터로 하여 웹페이지를 재요청하도록 하는 데이터와 함께 현재의 세션 연결을 끊도록 하는 데이터가 포함된 신호를 해당 클라이언트 측으로 전송하는 URL Redirect 처리단계(S05)가 포함되어 구비되는 것을 특징으로 하는 DDOS 공격 방어 장비를 위한 NAT 망용 웹서비스 정상사용자차단방지시스템을 제어하기 위한 제어방법이 제공된다.
이에 상기 URL Redirect 처리단계(S05)에 따라, 해당 클라이언트 측으로부터 해당 웹서버에 대한 가상 아이피 데이터가 수신된 경우엔 정상클라이언트로 판별하고, 가상 아이피 복원부(35)를 통하여 해당 웹서버에 대한 가상 아이피 정보가 실제 아이피 정보로 복원하여 해당 웹서버로 정보요청 데이터를 전송하고, 가상 아이피 변환부(34)를 통하여 해당 웹서버에 대한 가상 아이피 정보와 클라이언트에서 요청된 해당 웹서버의 정보데이터가 전송되도록 구비될 수 있다.

나아가 본 발명은, 클라이언트로부터 데이터를 수신받고 전송하는 패킷수신부, 패킷송신부와; 상기 패킷수신부로부터 패킷 정보를 전송받고, 패킷송신부로 데이터를 전송하는 NAT데이터처리부(30)가 포함되어 구비되고, 상기 NAT데이터처리부(30)에는, 블랙리스트룰테이블에 저장된 패킷 정보의 데이터와 매칭 판별하여, 매칭되는 해당 클라이언트와의 TCP 세션 연결 이외의 패킷을 차단하도록 하는 블랙리스트룰테이블매칭부(31)가 구비된 정상사용자차단방지시스템에 있어서, 상기 NAT데이터처리부(30)에는, 클라이언트의 요청 데이터가 해당 웹서버의 웹페이지 요청 패킷인 경우에, 해당 웹서버의 가상 아이피로 변환된 응답 데이터와, 클라이언트가 웹서버에 대한 세션 연결을 끊고 가상 아이피 주소로 접속을 하도록 하는 데이터가 해당 클라이언트 측으로 전송되도록 하는 URL Redirect 처리부(33)가 포함되어 구비되는 것을 특징으로 하는 DDOS 공격 방어 장비를 위한 NAT 망용 웹서비스 정상사용자차단방지시스템이 제공될 수 있다.

이에 상기 NAT데이터처리부(30)에는, 클라이언트의 요청 데이터가 TCP 세션 연결 패킷인 경우에, 웹서버를 대신하여 TCP SYN-ACK 응답을 생성하여 전송되도록 하는 TCP SYN PROXY 처리부(32); 클라이언트로부터 패킷을 수신받아 가상 웹서버 아이피를 실제 웹서버 아이피로 복원 처리하고, 실제 웹서버 측으로 패킷을 전송하도록 하는 가상 아이피 복원부(35)와; 클라이언트의 요청에 따라 웹서버로부터 수신받은 패킷에 대해, 웹서버에서 클라이언트에 전송되었던 웹서버의 가상 아이피로 변환되어 패킷 송신이 이루어지도록 하는 가상 아이피 변환부(34)가 더 포함되어 구비되고, 상기 URL Redirect 처리부(33)는 가상 아이피 주소로 접속을 하도록 하는 URL Moved 혹은 URL Redirect HTTP 데이터가 포함되도록 하여 패킷 송신부(23)를 통하여 해당 클라이언트 측으로 전송되도록 구비되며, 상기 블랙리스트룰테이블매칭부(31)의 블랙리스트룰테이블에는 공격자 클라이언트의 소스 아이피 데이터, 웹서버의 목적지 아이피 데이터, 웹서버의 목적지 포트 데이터가 포함되어 구비될 수 있다.
상기와 같이 구성되는 본 발명은 DDOS 방어와 관련하여 웹서버에 임계치 이상의 과도한 트래픽이 탐지될 경우 해당 아이피를 블랙 리스트로 등록하여 그 아이피에 대해서는 모든 트래픽을 차단하고, 또한 NAT에서의 동일 외부 아이피를 사용하는 정상 사용자를 모두 차단하고, 공격 트래픽이 아닌 정상 사용자의 트래픽을 모두 차단하며, 특히 본 발명은 이와 같은 동일 아이피를 사용하는 공격자와 정상 사용자를 구분하여 공격자 트래픽은 차단하고, 정상 사용자는 웹서비스를 사용할 수 있도록 하는데 탁월한 효과가 있다.
도 1은 본 발명에 따른 정상사용자차단방지시스템에 대한 구성도.
도 2는 본 발명에 따른 정상사용자차단방지시스템의 블랙리스트룰테이블매칭부에 따른 처리과정에 대한 예시도.
도 3은 본 발명에 따른 정상사용자차단방지시스템에 의한 정상 사용자 차단 방지를 위한 패킷 처리에 대한 예시도.
도 4는 본 발명에 따른 정상사용자차단방지시스템에 대한 패킷 처리 단계별 처리과정에 대한 예시도.
도 5는 본 발명에 따른 정상사용자차단방지시스템의 블랙리스트룰테이블에 대한 예시도.
도 6은 본 발명에 따른 정상사용자차단방지시스템의 제어방법에 대한 순서도.
이하 첨부되는 도면을 참조하여 상세히 설명한다.
즉 본 발명에 따른 디도스(DDOS) 공격 방어장비를 위한 엔에이티(NAT) 망용 웹서비스 정상사용자차단방지시스템(20, NAT-ENABLED SYSTEM TO PREVENT THE BLOCKING OF A NORMAL CLIENT'S WEB SERVICE USING NAT FROM A DDOS DEFENSE SYSTEM)은 도 1 내지 도 6 등에서와 같이, 클라이언트로부터 패킷을 수신받고 정보데이터를 전송하는 패킷수신부와, 패킷송신부와, 그리고 상기 패킷수신부로부터 패킷 정보를 전송받고, 패킷송신부로 데이터를 전송하는 NAT데이터처리부(30)가 포함되어 구비되는 것이다.
이에 상기 NAT데이터처리부(30)에는, 블랙리스트룰테이블에 저장된 패킷 정보의 데이터와 매칭 판별하여, 매칭되는 해당 클라이언트와의 TCP 세션 연결 이외의 패킷을 끊도록 하는 블랙리스트룰테이블매칭부(31)와, 상기 블랙리스트룰테이블매칭부(31)를 통해 매칭판별된 해당 클라이언트의 요청 데이터가 TCP 세션 연결 패킷인 경우에, 웹서버를 대신하여 TCP SYN-ACK 응답을 생성하여 전송되도록 하는 TCP SYN PROXY 처리부(32) 등이 포함되어 구성되는 것이다.
이에 블랙리스트룰테이블매칭부(31)의 블랙리스트룰테이블에는, 비정상 연결요청 및 과도한 웹페이지 요청의 트래픽이 탐지되는 클라이언트를 공격자로 분류 판별하여, 해당 공격자에 대한 정보가 저장되는 것이다. 그 예시로는 도 5에서와 같이 포함될 수 있을 것이다.
따라서 해당 클라이언트가 공격자로 판별되는 경우에는, TCP 세션 연결 패킷을 제외한 패킷을 차단하여, 웹서버를 보호하도록 하는 것이다.
그리고 이처럼 공격자로 판별되는 경우에는 TCP SYN PROXY 처리부(32)가 웹서버를 대신하여 TCP SYN-ACK 프로세싱을 수행하도록 함으로써 해당 웹서버를 보호하게 될 것이다.
또한 상기 NAT데이터처리부(30)에는, 해당 클라이언트의 요청 데이터가 해당 웹서버의 웹페이지 요청 패킷인 경우에, 해당 웹서버의 가상 아이피로 변환된 응답 데이터와, 클라이언트가 해당 웹서버에 대하여 실제 웹서버에 대한 세션 연결을 끊도록 하고, 가상 아이피 주소로 접혹을 하도록 하는 URL Redirect 혹은 URL Moved HTTP 데이터가 포함되도록 하여 패킷 송신부(23)를 통하여 해당 클라이언트 측으로 전송되도록 하는 URL Redirect 처리부(33)가 더 구비되는 것이다.
특히 이러한 URL Redirect 처리부(33)에 의하여, 실제 웹서버에 대한 정보로 데이터 처리되는 것이 아니라, 가상의 아이피로 하여 송수신되기 때문에, 해당 웹서버가 공격자에게 노출되지 않고 보호될 수 있을 것이다.
그리고 상기 NAT데이터처리부(30)에는 이처럼 가상 아이피와 실제 아이피에 대한 데이터 변환을 위하여, TCP SYN-ACK 응답을 하는 클라이언트로부터 데이터를 수신받아 가상 웹서버 아이피를 실제 웹서버 아이피로 복원 처리하고, 실제 웹서버 측으로 데이터를 전송하도록 하는 가상 아이피 복원부(35)와, 클라이언트의 요청에 따라 웹서버로부터 수신받은 패킷에 대해, 클라이언트에 전송되었던 해당 웹서버의 가상 아이피로 변환되어 패킷 송신이 이루어지도록 하는 가상 아이피 변환부(34)가 더 포함되어 구비되는 것이다.
따라서 비록 공격자로 블랙리스트룰테이블과의 매칭과정에서 판별된 클라이언트라 하여도 정상사용자의 경우, 블랙리스트룰테이블에 따른 블랙리스트의 매칭조건에서 매칭되지 않기 때문에 차단되지 않고, 반면 공격자는 블랙리스트룰테이블의 매칭조건에 의해 공격자로 차단되어, 해당 웹서버를 보호할 수 있다. 또한 TCP SYN PROXY 처리부(32), URL Redirect 처리부(33), 가상 아이피 변환부(34), 가상 아이피 복원부(35) 등을 통하여 정상 클라이언트를 판별함으로써, 웹서버를 보호하면서, 해당 정상 사용자의 클라이언트가 해당 웹서버를 안정적으로 이용할 수 있도록 하는 것이다.
이와 같은 본 발명에 따른 DDOS 공격 방어 장비를 위한 NAT 망용 웹서비스 정상사용자차단방지시스템(20)에 있어서, 상기 블랙리스트룰테이블매칭부(31)의 블랙리스트룰테이블에는 공격자 클라이언트의 소스 아이피 데이터, 웹서버의 목적지 아이피 데이터, 웹서버의 목적지 포트 데이터가 포함되어 구비되는 것이다.
이와 같이 구비되는 본 발명에 따른 DOS, DDOS 등과 같이, 비정상 연결요청 및 과도한 웹 페이지 요청 트래픽에 대한 공격자 클라이언트에 의한 공격 방어 장비를 위한 NAT 망용 웹서비스 정상사용자차단방지시스템(20)을 제어하기 위한 제어방법을 살펴보면, 우선 클라이언트 측으로부터 웹서버의 정보 요청에 대한 데이터를 수신받는 웹서버 정보요청수신단계(S01)가 수행된다. 이러한 웹서버 정보 요청수신단계 중에 DOS, DDOS 등과 같이, 비정상 연결요청 및 과도한 웹 페이지 요청 트래픽에 대한 클라이언트의 경우에는 공격자로 분류하여 블랙리스트룰테이블에 해당 정보를 저장하게 된다. 따라서 공격자 여부를 매칭판별에 의하여 판별하게 된다.
즉 NAT데이터처리부(30)의 블랙리스트룰테이블매칭부(31)에서 클라이언트로부터 전송된 데이터와 블랙리스트룰테이블의 데이터를 매칭판별하는 블랙리스트매칭판별단계(S02)가 수행되는 것이다.
그리하여 상기 블랙리스트매칭판별단계(S02)에 의하여 해당 클라이언트의 정보가 블랙리스트룰테이블의 데이터와 매칭되는 경우에는, 해당 클라이언트에 대한 TCP 세션 연결 이외의 패킷은 차단되도록 하는 매칭차단단계(S03)가 수행되어, 해당 웹서버를 보호하게 되는 것이다.
그리고 상기 매칭차단단계(S03)에 따라 매칭된 클라이언트의 패킷이 TCP 세션 연결 패킷인 경우, TCP SYN PROXY 처리부(32)에서 웹서버를 대신하여 TCP SYN-ACK 응답을 생성하여 패킷 전송되도록 하는 응답데이터전송단계(S04)가 수행된다. 그리하여 정상 클라이언트 여부의 판별과정을 진행할 수 있을 것이다.
또한 상기 매칭차단단계(S03)에 따라 매칭된 클라이언트의 패킷이 웹페이지 요청 패킷인 경우, URL Redirect 처리부(33)에서 해당 웹서버에 대한 가상 아이피 정보로 변환된 정보데이터로 하여 웹페이지를 재요청하도록 하는 데이터와 함께 현재의 세션 연결을 끊도록 하는 데이터가 포함된 신호를 해당 클라이언트 측으로 전송하는 URL Redirect 처리단계(S05)가 수행되어, 해당 웹서버를 접속하고자 하는 정상 클라이언트 여부를 판별하게 되는 것이다.
그리고 이러한 상기 URL Redirect 처리단계(S05)에 따라, 해당 클라이언트 측으로부터 해당 웹서버에 대한 가상 아이피 데이터가 포함된 데이터가 수신된 경우엔 정상클라이언트로 판별하고, 가상 아이피 복원부(35)를 통하여 해당 웹서버에 대한 가상 아이피 정보에서 실제 아이피 정보로 복원되도록 하여 해당 웹서버로 정보요청 데이터를 전송하고, 또한 가상 아이피 변환부(34)를 통하여 해당 웹서버에 대한 가상 아이피 정보와 클라이언트에서 요청되었던 해당 웹서버의 정보데이터가 해당 클라이언트 측으로 전송되도록 구비되는 것이다.
이와 같이 마련되는 본 발명에 따른 웹서비스 정상사용자차단방지시스템(20)에 대한 상세 구성을 첨부된 도면을 참조하여 설명하면, 사용자(정상사용자(11), 공격자(12))와 웹서버(13) 사이에 연결되는 것으로, 그 세부 구성은 도 1에서와 같이, 패킷 수신부(22)(25), 패킷 송신부(23)(24), 그리고 이들과 연결되는 NAT데이터처리부(NAT DATA PROCESSOR, 30) 등으로 구성된 것이다.
그리고 이러한 NAT데이터처리부(NAT DATA PROCESSOR, NETWORK ADDRESS TRANSLATION DATA PROCESSOR, 30)에는, 블랙리스트룰테이블매칭부(31, BLACK LIST RULE TABLE MATCHER), TCP SYN PROXY 처리부(TCP SYN PROXY PROCESSOR, 32), URL Redirect 처리부(URL Redirect PROCESSOR, 33), 서버의 아이피를 가상 아이피로 변환하기 위한 가상 아이피 변환부(VIRTUAL IP TRANSLATOR, 34), 가상 아이피를 실제 아이피로 복원하기 위한 가상 아이피 복원부(VIRTUAL IP RESTORATOR, 35) 등으로 구성된다.
이에 패킷 수신부(22)는 정상사용자(11), 공격자(12) 등의 네트워크로부터 패킷을 수신받아 NAT데이터처리부(30)로 수신된 데이터를 전송하게 되고, 이에 NAT데이터처리부(30)에서는 전송된 데이터를 수신받아 블랙리스트룰테이블매칭부(31)에서 공격자의 정보인지 여부를 매칭과정을 통하여 검사하게 된다.
따라서 블랙리스트룰테이블매칭부(31)에서는 공격자인지 여부를 판별하여 공격자로 매칭 판별하는 경우에는 공격자로 판별된 패킷을 바로 차단하게 된다. 즉 공격자가 아닌 정상의 TCP 세션 연결 이외로 하여, 공격자로 판별된 패킷은 바로 차단하게 되는 것이다.
반면 공격자의 정보가 아닌 정상 사용자의 정보일 경우로 하여 블랙리스트룰테이블매칭부(31)에서 매칭 판별된 경우로, 정상 TCP 세션 연결 패킷인 경우로 판별된 때에는, 도 4에서와 같이 TCP SYN PROXY 처리부(33, TCP SYN PROXY PROCESSOR)를 통해 웹서버(13)를 대신하여 TCP SYN-ACK 응답을 생성하여 패킷 송신부(23)를 통해 패킷을 사용자 측으로 내보낸다.
또한 사용자로부터 전송된 데이터 정보가 HTTP 웹페이지 요청 패킷인 경우에는, URL Redirect 처리부(33, URL Redirect PROCESSOR)를 통하여 URL Redirect 패킷을 생성하여 패킷 송신장치로 전송한다. HTTP 웹페이지 요청이 가상 웹서버 주소인 경우 가상 아이피 복원부(35)를 통하여 실제 웹서버(13)의 아이피로 변환하여 패킷 송신부(24)를 통해 웹서버(13)에 패킷을 전송한다. 그리고 웹서버(13)로부터 수신 받은 패킷은 패킷 수신부(25)를 통해 정상 사용자(11)로 송신되었던 가상 아이피로 가상 아이피 변환부(34)에서 변환하여 패킷 송신부(23)를 통해 사용자에게 전송되도록 하여, DDOS 공격 방어 장비를 위한 NAT 망용 패킷 데이터 처리 장비로 구성하게 된다.
다음으로 본 발명에 따른 디도스 공격 방어 장비를 위한 NAT 망용 웹서비스 정상사용자차단방지시스템에 의한 공격자 방어의 과정을 살펴보기로 한다.
즉 도 2에서의 예시 도면에서와 같이, DDOS 방어용 NAT 처리 장비들에 대한 구성도에서와 같이, 탐지 엔진을 통해 공격자의 비정상 연결 요청 및 웹서버에 대한 과도한 웹 페이지 요청 트래픽을 탐지할 경우 블랙리스트룰테이블매칭부(31)의 데이터베이스에 NAT 및 웹서버에 대한 정보가 저장되도록 하는 것으로, NAT 외부 아이피(10.10.10.1), 웹서버 아이피(211.222.195.5) 웹서버 포트 (80) 포트를 블랙리스트룰테이블매칭부(31)의 데이터베이스의 테이블에 등록되게 한다.
DDOS 공격 방어용 NAT 처리 장비로 수신되는 패킷을 분석하여 클라이언트 아이피(10.10.10.1), 웹서버 아이피 (211.222.195.5), 웹서버 포트(80)인 경우로 하여, 블랙리스트룰테이블매칭부(31)의 데이터 테이블과 매칭이 되어, 공격자로 매칭 판별되면, 블랙리스트룰테이블매칭부(31)에서는 해당 공격자 패킷을 TCP 세션 연결 패킷 이외는 바로 차단하도록 제어신호를 다른 제어부재들로 전송하게 된다.
그리고 TCP 세션 연결 관련 패킷은 TCP SYN PROXY 처리부(32, TCP SYN PROXY)로 전송된다. 이에 TCP SYN PROXY 처리부(32, TCP SYN PROXY)는 웹서버(13)를 대신하여 TCP SYN 세션 연결 요청에 대한 SYN-ACK 응답을 하는 장치로 작동하게 되는 것이다. 즉 이러한 TCP SYN PROXY 처리부(32)에서는 비정상적인 TCP 연결 요청을 웹서버(13)에 전달하지 않게 하고 차단하는 데 이용되는 PROXY 장치가 적용되는 것이다.
이러한 TCP SYN PROXY 처리부(32, TCP SYN PROXY)를 통하여 웹서버(13)에 SYN FLOODING 공격이나 세션 연결 요청에 의한 공격을 모두 차단하는 기능을 하게 된다. 이에 이러한 SYN FLOODING 이란 TCP 세션 연결 요청으로 서버가 SYN 패킷 수신시 메모리를 할당하게 되는데, SYN FLOODING 공격이 발생되면, 많은 양의 SYN 패킷을 수신하게 되어, 메모리를 많이 사용하여 정상적인 TCP 연결 처리를 하지 못하도록 하는 공격 방법인 것이다. 따라서 이와 같은 본 발명에 따른 블랙리스트룰테이블매칭부(31) 및 TCP SYN PROXY 처리부(32) 등에 의하여 공격자료 판별되는 데이터를 웹서버(13)에 전달하지 않고 차단하게 됨으로써, 정상정인 사용자의 정보를 보호하도록 하는 것이다.
다음으로 본 발명에 따른 디도스 공격 방어의 NAT 망용 웹서비스 정상사용자차단방지시스템(20)에 있어서, 정상 사용자에 대한 처리 과정을 살펴보면 다음과 같다.
즉 도 3에서와 같은 실시예시도에서와 같이, 클라이언트가 “GET /index.html HTTP 1.1” 과 같이 웹페이지 요청을 한 경우 현재 TCP 세션 연결을 끊고 가상의 호스트로 접속하도록 웹서버의 호스트 주소를 www.naver1.com 으로 변경하여 정상 사용자 확인을 위한 응답 패킷을 사용자 측으로 보낸다.
이에 URL Redirect 처리부(33, URL Redirect)에서는 현재 세션 연결을 끊도록 클라이언트에게 TCP HEADER 에 FIN, PUSH, ACK = 1 로 설정하고, HTTP 프로토콜 표준인 URL Moved 혹은 URL Redirect 301/302 코드와 Location : www.naver1.com 응답패킷을 생성하여 보낸다. TCP FIN, PUSH, ACK = 1 로 설정을 하여 클라이언트에게 현재 세션 연결을 끊고 새로운 TCP 세션 요청을 하도록 하기 위함이다. HTTP URL Redirect 는 클라이언트에게 현재 요청한 페이지의 주소가 변경되었음을 알리고, Location 필드에 명시된 주소로 재요청하라는 HTTP 응답 패킷이다. 패킷의 구성은 아래와 같이 패킷을 생성할 수 있다.
(a) Internet Protocol, src: 10.10.10.1, dst: 211.222.195.5
(b) Transmission Control Protocol: dst_port : http(80), FIN: 1, PUSH: 1, ACK: 1
(c) Hypertext Transfer Protocol :
HTTP 1.1 301 Moved Permanently
Content-Length: 0
Location: http://www.naver1.com
Connection: close
이에 상기의 (a)는 IP 헤더에 관한 것으로, 소스와 목적지 아이피를 포함한 것을 보인 것이고, (b)는 소스와 목적지의 포트, TCP FLAG를 포함한 것을 보인 것이다. 그리고 (c)는 HTTP 헤더 정보를 포함하여 HTTP 1.1 301 상태 코드로 URL Moved / Redirect 되었다는 응답 코드에 관한 것으로, Location 필드는 변경된 서버의 URL 주소를 표시한다.
상기에서와 같은 실시예에서, 패킷 정보는 www.naver.com 에서 www.naver1.com 로 변경된 주소를 알리기 위한 HTTP 패킷 정보를 전송하게 된다. 사용자 A (10.10.10.1) 가 가상의 웹서버(211.222.195.6:www.naver1.com:80) 로 웹페이지 요청시, 정상사용자(11)일 경우에는, 블랙리스트룰테이블매칭부(31, BLACK LIST RULE TABLE MATCHER)에서 매칭이 되지 않기 때문에 차단되지 않게 된다.
그리고 가상 아이피 복원부(35, VIRTUAL IP RESTORATOR)에서는 가상의 웹서버(211.222.195.6:www.naver1.com:80) 주소를 실제 서버 아이피(211.222.195.5:www.naver1.com:80)로 복원하여 웹서버 A 로 전송한다.
다음으로 웹서버 A 로부터 수신되는 패킷은 가상 아이피 변환부(34, VIRTUAL IP TRANSLATOR)를 통하여 웹서버 A 로부터 사용자 A 로 보내는 소스 주소를 가상의 아이피 (211.222.195.6) 로 변환하여 사용자 A 에게 전송한다. 이는 블랙 리스트 룰 테이블 매칭부(31)에서 매칭이 되지 않고 정상 사용자(11)로 되도록 하는 것으로, 블랙리스트룰테이블매칭부(31)에서 우회시켜 차단되는 것을 방지하기 위한 과정이다.
일반적으로 사용하는 대부분의 DDOS 공격툴의 방법은 서버에 대한 응답을 하지 않고, 단방향으로 다량의 트래픽을 서버에 보내어 공격하는 방법을 사용한다. 따라서 공격자 PC (10.10.10.1)(12)에 의한 웹페이지 요청의 경우에는, 도 2의 3 번단계(3. ACK)의 패킷에 대한 응답을 하지 않고 웹페이지 요청만 하게 된다.
그리하여 웹페이지 요청 패킷인 웹서버(211.222.195.5:80) “GET /index.html HTTP 1.1 “와 함께 공격자 PC (10.10.10.1) 정보와, 웹서버(211.222.195.5:80)에 대한 정보요청의 패킷 등으로 하는 정보를 수신하게 되면, 블랙리스트룰테이블매칭부(31)에서는 이러한 공격자에 의한 접근을 차단하게 된다.
반면 블랙리스트룰테이블매칭부(31)의 데이터베이스의 테이블에 공격자 리스트로 등록되어 있지 않으면서, 새로운 ACK에 대한 요청에 대해 가상 웹 서버에 대한 정보로 웹페이지 요청을 하게 되는 경우에는 블랙리스트룰테이블매칭부(31)에서 정상사용자로 분류하게 되고, 따라서 가상 아이피 복원(35) 및 가상아이피 변환부(34) 등을 통하여 정상 사용자(11) 측으로 해당 웹서버에 대한 정보를 전송하게 되는 것이다.
따라서 NAT의 동일한 아이피를 사용하는 사용자 A 와 공격자 PC 를 구분하여, 동일한 아이피를 사용하는 사용자라 하여도, 요청되는 요청 정보를 매칭 테이블을 판별하여, 공격자 PC 는 차단되도록 하고, 정상 사용자에 대해서 인터넷 서비스 차단이 방지되도록 하여, 정상적으로 사용할 수 있도록 하게 된다.
이상으로 본 발명의 실시예에 대하여 상세히 설명하였으나, 이는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 일실시예를 기재한 것이므로, 상기 실시예의 기재에 의하여 본 발명의 기술적 사상이 제한적으로 해석되어서는 아니된다.
11 : 정상사용자 12 : 공격자
13 : 웹서버 20 : 정상사용자차단방지시스템
22, 25 : 패킷수신부 23, 24 : 패킷송신부
30 : NAT데이터처리부 31 : 블랙리스트룰테이블매칭부
32 : TCP SYN PROXY 처리부 33 : URL Redirect 처리부
34 : 가상 아이피 변환부 35 : 가상 아이피 복원부

Claims (7)

  1. 클라이언트로부터 데이터를 수신받고 전송하는 패킷수신부, 패킷송신부와; 상기 패킷수신부로부터 패킷 정보를 전송받고, 패킷송신부로 데이터를 전송하는 NAT데이터처리부(30)가 포함되어 구비되고,
    상기 NAT데이터처리부(30)에는, 블랙리스트룰테이블에 저장된 패킷 정보의 데이터와 매칭 판별하여, 매칭되는 해당 클라이언트와의 TCP 세션 연결 이외의 패킷을 차단하도록 하는 블랙리스트룰테이블매칭부(31)가 구비된 정상사용자차단방지시스템에 있어서,
    상기 NAT데이터처리부(30)에는,
    클라이언트의 요청 데이터가 해당 웹서버의 웹페이지 요청 패킷인 경우에, 해당 웹서버의 가상 아이피로 변환된 응답 데이터와, 클라이언트가 웹서버에 대한 세션 연결을 끊고 가상 아이피 주소로 접속을 하도록 하는 데이터가 해당 클라이언트 측으로 전송되도록 하는 URL Redirect 처리부(33)가 포함되어 구비되는 것을 특징으로 하는 NAT 망용 웹서비스 정상사용자차단방지시스템.
  2. 삭제
  3. 제 1항에 있어서,
    상기 NAT데이터처리부(30)에는,
    클라이언트의 요청 데이터가 TCP 세션 연결 패킷인 경우에, 웹서버를 대신하여 TCP SYN-ACK 응답을 생성하여 전송되도록 하는 TCP SYN PROXY 처리부(32);
    클라이언트로부터 패킷을 수신받아 가상 웹서버 아이피를 실제 웹서버 아이피로 복원 처리하고, 실제 웹서버 측으로 패킷을 전송하도록 하는 가상 아이피 복원부(35)와;
    클라이언트의 요청에 따라 웹서버로부터 수신받은 패킷에 대해, 웹서버에서 클라이언트에 전송되었던 웹서버의 가상 아이피로 변환되어 패킷 송신이 이루어지도록 하는 가상 아이피 변환부(34)가 더 포함되어 구비되고,
    상기 URL Redirect 처리부(33)는 가상 아이피 주소로 접속을 하도록 하는 URL Moved 혹은 URL Redirect HTTP 데이터가 포함되도록 하여 패킷 송신부(23)를 통하여 해당 클라이언트 측으로 전송되도록 구비되며,
    상기 블랙리스트룰테이블매칭부(31)의 블랙리스트룰테이블에는 공격자 클라이언트의 소스 아이피 데이터, 웹서버의 목적지 아이피 데이터, 웹서버의 목적지 포트 데이터가 포함되어 구비되는 것을 특징으로 하는 NAT 망용 웹서비스 정상사용자차단방지시스템.
  4. 삭제
  5. 클라이언트와 웹서버 사이에 연결되도록 구비되고,
    클라이언트로부터 웹서버의 정보 요청에 대한 데이터를 수신받도록 구비되며,
    블랙리스트룰테이블에 대한 매칭 판별로, 매칭판별된 클라이언트의 TCP 세션 연결 이외의 패킷은 차단되도록 구비되고,
    해당 웹서버의 가상 아이피 정보 데이터와 현재 세션 연결을 끊도록 하는 데이터를 클라이언트 측으로 전송하도록 구비되며,
    해당 클라이언트 측으로부터 해당 웹서버에 대한 가상 아이피 정보로 웹서버의 정보 요청한 경우에는 정상사용자로 판별하여 처리되도록 구비되는 것을 특징으로 하는 NAT 망용 웹서비스 정상사용자차단방지시스템.
  6. 클라이언트 측으로부터 웹서버의 정보 요청에 대한 데이터를 수신받는 웹서버 정보요청수신단계(S01);
    NAT데이터처리부(30)의 블랙리스트룰테이블매칭부(31)에서 클라이언트로부터 전송된 데이터와 블랙리스트룰테이블의 데이터를 매칭판별하는 블랙리스트매칭판별단계(S02);
    상기 블랙리스트매칭판별단계(S02)에 의하여 해당 클라이언트의 정보가 블랙리스트룰테이블의 데이터와 매칭되는 경우에는, 해당 클라이언트에 대한 TCP 세션 연결 이외의 패킷은 차단되도록 하는 매칭차단단계(S03);
    상기 매칭차단단계(S03)에 따라 매칭된 클라이언트의 패킷이 TCP 세션 연결 패킷인 경우, TCP SYN PROXY 처리부(32)에서 웹서버를 대신하여 TCP SYN-ACK 응답을 생성하여 패킷 전송되도록 하는 응답데이터전송단계(S04);
    상기 매칭차단단계(S03)에 따라 매칭된 클라이언트의 패킷이 웹페이지 요청 패킷인 경우, URL Redirect 처리부(33)에서 해당 웹서버에 대한 가상 아이피 정보로 변환된 정보데이터로 하여 웹페이지를 재요청하도록 하는 데이터와 함께 현재의 세션 연결을 끊도록 하는 데이터가 포함된 신호를 해당 클라이언트 측으로 전송하는 URL Redirect 처리단계(S05);
    가 포함되어 구비되는 것을 특징으로 하는 NAT 망용 웹서비스 정상사용자차단방지시스템을 제어하기 위한 제어방법.
  7. 제 6항에 있어서,
    상기 URL Redirect 처리단계(S05)에 따라,
    해당 클라이언트 측으로부터 해당 웹서버에 대한 가상 아이피 데이터가 수신된 경우엔 정상클라이언트로 판별하고, 가상 아이피 복원부(35)를 통하여 해당 웹서버에 대한 가상 아이피 정보가 실제 아이피 정보로 복원되도록 하여 해당 웹서버로 정보요청 데이터를 전송하고, 가상 아이피 변환부(34)를 통하여 해당 웹서버에 대한 가상 아이피 정보와 클라이언트에서 요청된 해당 웹서버의 정보데이터가 전송되도록 구비되는 것을 특징으로 하는 NAT 망용 웹서비스 정상사용자차단방지시스템을 제어하기 위한 제어방법.
KR1020100033216A 2010-04-12 2010-04-12 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법 KR100994076B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020100033216A KR100994076B1 (ko) 2010-04-12 2010-04-12 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법
JP2011045597A JP5392507B2 (ja) 2010-04-12 2011-03-02 Nat網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム及びその制御方法
US13/039,373 US8434141B2 (en) 2010-04-12 2011-03-03 System for preventing normal user being blocked in network address translation (NAT) based web service and method for controlling the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100033216A KR100994076B1 (ko) 2010-04-12 2010-04-12 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법

Publications (1)

Publication Number Publication Date
KR100994076B1 true KR100994076B1 (ko) 2010-11-12

Family

ID=43409648

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100033216A KR100994076B1 (ko) 2010-04-12 2010-04-12 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법

Country Status (3)

Country Link
US (1) US8434141B2 (ko)
JP (1) JP5392507B2 (ko)
KR (1) KR100994076B1 (ko)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101095447B1 (ko) * 2011-06-27 2011-12-16 주식회사 안철수연구소 분산 서비스 거부 공격 차단 장치 및 방법
WO2013142743A1 (en) * 2012-03-22 2013-09-26 Akamai Technologies, Inc. Methods and systems for performing message exchange accounting
KR101453728B1 (ko) 2013-09-17 2014-10-22 주식회사 윈스 Nat ip 처리 기반 네트워크 보안 정책 제공 방법 및 장치
KR101482231B1 (ko) * 2013-08-05 2015-01-15 한국과학기술원 Uri에 기초하여 패킷 전송을 제어하는 방법 및 부하 분산 장치
EP2668755A4 (en) * 2011-01-28 2016-09-14 Hangzhou H3C Tech Co Ltd METHODS AND DEVICES FOR DETECTING AN IP ADDRESS
KR20180049476A (ko) * 2016-11-02 2018-05-11 주식회사 시큐아이 네트워크 보안 방법 및 그 장치
CN110890984A (zh) * 2019-11-27 2020-03-17 山东九州信泰信息科技股份有限公司 一种基于隔离设备的双机热备的切换方法
KR102090138B1 (ko) * 2018-12-21 2020-03-17 (주)모니터랩 세션 관리 방법 및 이를 이용한 보안중계장치
CN114389898A (zh) * 2022-03-23 2022-04-22 南京赛宁信息技术有限公司 一种基于靶场的Web防御方法、装置及***

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8458769B2 (en) 2009-12-12 2013-06-04 Akamai Technologies, Inc. Cloud based firewall system and service
US8661146B2 (en) * 2011-10-13 2014-02-25 Cisco Technology, Inc. Systems and methods for IP reachability in a communications network
TWI619038B (zh) 2011-11-07 2018-03-21 Admedec Co Ltd Safety box
US9172721B2 (en) * 2013-07-16 2015-10-27 Fortinet, Inc. Scalable inline behavioral DDOS attack mitigation
KR102169302B1 (ko) * 2014-04-30 2020-10-23 삼성전자주식회사 통신 서비스를 제공하기 위한 방법, 단말, 그리고 서버
CN105450705B (zh) * 2014-08-29 2018-11-27 阿里巴巴集团控股有限公司 业务数据处理方法及设备
JP6181881B2 (ja) * 2014-09-01 2017-08-16 日本電信電話株式会社 制御装置、制御システム、制御方法、および、制御プログラム
CN104301302B (zh) * 2014-09-12 2017-09-19 深信服网络科技(深圳)有限公司 越权攻击检测方法及装置
US10187410B2 (en) * 2015-06-30 2019-01-22 Microsoft Technology Licensing, Llc Automatically preventing and remediating network abuse
US10158666B2 (en) * 2016-07-26 2018-12-18 A10 Networks, Inc. Mitigating TCP SYN DDoS attacks using TCP reset
EP3331217A1 (en) * 2016-12-02 2018-06-06 HOB GmbH & Co. KG Method for connecting a client to a server in a communication system
CN106657044B (zh) * 2016-12-12 2019-09-06 杭州电子科技大学 一种用于提高网站***安全防御的网页地址跳变方法
CN109905387A (zh) * 2019-02-20 2019-06-18 网宿科技股份有限公司 一种数据处理方法及装置
CN110278271B (zh) * 2019-06-24 2022-04-12 厦门美图之家科技有限公司 网络请求控制方法、装置及终端设备
WO2022100866A1 (en) * 2020-11-16 2022-05-19 Huawei Technologies Co., Ltd. Method and apparatus for network security

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3963690B2 (ja) * 2001-03-27 2007-08-22 富士通株式会社 パケット中継処理装置
JP4434551B2 (ja) * 2001-09-27 2010-03-17 株式会社東芝 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機
US7899932B2 (en) * 2003-01-15 2011-03-01 Panasonic Corporation Relayed network address translator (NAT) traversal
JP2004334455A (ja) * 2003-05-07 2004-11-25 Fujitsu Ltd サーバ装置
DE102004016582A1 (de) * 2004-03-31 2005-10-27 Nec Europe Ltd. Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz
JP2006155534A (ja) * 2004-12-01 2006-06-15 Dentsu Tec Inc リダイレクト制御システム
EP1999622A2 (en) * 2006-01-20 2008-12-10 Paxfire, Inc. Systems and methods for discerning and controlling communication traffic
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices
JP2010026547A (ja) * 2008-07-15 2010-02-04 Fujitsu Ltd ファイアウォール負荷分散方法及びファイアウォール負荷分散システム

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2668755A4 (en) * 2011-01-28 2016-09-14 Hangzhou H3C Tech Co Ltd METHODS AND DEVICES FOR DETECTING AN IP ADDRESS
KR101095447B1 (ko) * 2011-06-27 2011-12-16 주식회사 안철수연구소 분산 서비스 거부 공격 차단 장치 및 방법
WO2013002538A2 (en) * 2011-06-27 2013-01-03 Ahnlab, Inc. Method and apparatus for preventing distributed denial of service attack
WO2013002538A3 (en) * 2011-06-27 2013-03-14 Ahnlab, Inc. Method and apparatus for preventing distributed denial of service attack
WO2013142743A1 (en) * 2012-03-22 2013-09-26 Akamai Technologies, Inc. Methods and systems for performing message exchange accounting
KR101482231B1 (ko) * 2013-08-05 2015-01-15 한국과학기술원 Uri에 기초하여 패킷 전송을 제어하는 방법 및 부하 분산 장치
KR101453728B1 (ko) 2013-09-17 2014-10-22 주식회사 윈스 Nat ip 처리 기반 네트워크 보안 정책 제공 방법 및 장치
KR20180049476A (ko) * 2016-11-02 2018-05-11 주식회사 시큐아이 네트워크 보안 방법 및 그 장치
KR102090138B1 (ko) * 2018-12-21 2020-03-17 (주)모니터랩 세션 관리 방법 및 이를 이용한 보안중계장치
CN110890984A (zh) * 2019-11-27 2020-03-17 山东九州信泰信息科技股份有限公司 一种基于隔离设备的双机热备的切换方法
CN114389898A (zh) * 2022-03-23 2022-04-22 南京赛宁信息技术有限公司 一种基于靶场的Web防御方法、装置及***
CN114389898B (zh) * 2022-03-23 2022-07-01 南京赛宁信息技术有限公司 一种基于靶场的Web防御方法、装置及***

Also Published As

Publication number Publication date
US8434141B2 (en) 2013-04-30
US20110252469A1 (en) 2011-10-13
JP5392507B2 (ja) 2014-01-22
JP2011221993A (ja) 2011-11-04

Similar Documents

Publication Publication Date Title
KR100994076B1 (ko) 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법
US8670316B2 (en) Method and apparatus to control application messages between client and a server having a private network address
Bellovin Defending against sequence number attacks
KR100663546B1 (ko) 악성 봇 대응 방법 및 그 시스템
US8606898B1 (en) Spread identity communications architecture
KR101231975B1 (ko) 차단서버를 이용한 스푸핑 공격 방어방법
US20090144806A1 (en) Handling of DDoS attacks from NAT or proxy devices
US11178108B2 (en) Filtering for network traffic to block denial of service attacks
US10397225B2 (en) System and method for network access control
CA3051168A1 (en) Systems and methods for ip source address spoof detection
US20170041297A1 (en) Unified source user checking of tcp data packets for network data leakage prevention
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
KR20070079781A (ko) 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법
KR20200109875A (ko) 유해 ip 판단 방법
CN106789882A (zh) 一种域名请求攻击的防御方法及***
RU2304302C2 (ru) Способ обработки сетевых пакетов для обнаружения компьютерных атак
US7860977B2 (en) Data communication system and method
KR20200009366A (ko) 슬로우 에이치티티피 포스트 도스 공격 탐지장치
KR101080734B1 (ko) 스푸핑 방지 방법 및 장치
Mishra et al. A systematic survey on DDoS attack and data confidentiality issue on cloud servers
KR101231801B1 (ko) 네트워크 상의 응용 계층 보호 방법 및 장치
KR101143368B1 (ko) 분산형 DDos 방어 시스템 및 이를 이용한 방어 방법
Kulkarni Security and Service Vulnerabilities with HTTP/3
KR20140102399A (ko) 비정상 세션 탐지 방법 및 장치
CN113572735A (zh) 一种利用隐藏服务器防止网络攻击的方法

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131128

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141029

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20151105

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20161028

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20171101

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20181108

Year of fee payment: 9