KR101028101B1 - 분산 서비스 거부 공격 방어 보안장치 및 그 방법 - Google Patents

분산 서비스 거부 공격 방어 보안장치 및 그 방법 Download PDF

Info

Publication number
KR101028101B1
KR101028101B1 KR1020090018051A KR20090018051A KR101028101B1 KR 101028101 B1 KR101028101 B1 KR 101028101B1 KR 1020090018051 A KR1020090018051 A KR 1020090018051A KR 20090018051 A KR20090018051 A KR 20090018051A KR 101028101 B1 KR101028101 B1 KR 101028101B1
Authority
KR
South Korea
Prior art keywords
packet
attack
ddos
address
unit
Prior art date
Application number
KR1020090018051A
Other languages
English (en)
Other versions
KR20100099513A (ko
Inventor
조태진
문종욱
Original Assignee
시큐아이닷컴 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 시큐아이닷컴 주식회사 filed Critical 시큐아이닷컴 주식회사
Priority to KR1020090018051A priority Critical patent/KR101028101B1/ko
Publication of KR20100099513A publication Critical patent/KR20100099513A/ko
Application granted granted Critical
Publication of KR101028101B1 publication Critical patent/KR101028101B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 분산 서비스 거부 공격 방어 시스템 및 방법에 관한 것으로, 보다 구체적으로는 서비스 요청을 한 목적지 IP 주소를 가진 패킷에 대하여 분산 서비스 거부 공격(DDoS)에 대한 네트워크 보호를 위한 방어 장치 및 방법에 관한 것이다.
본 발명에 따른 분산 서비스 거부(DDos) 공격 방어 방법은 네트워크의 특정 노드에 설치된 모드전환 탭장치를 포함한 보안장치를 사용하는 것으로서, 탭장치가 패시브 태핑 모드로 유지되어 노드를 통과하는 패킷이 분석되어 감시되는 단계; DDoS 공격이 감지된 경우, 탭장치가 탐지된 공격 목적지 주소를 갖는 패킷에 대하여 선택적 인라인 모드로 전환되는 단계; 및 공격 목적지 이외의 주소를 갖는 패킷은 노드를 통과하도록 하며, 공격 목적지 주소를 갖는 패킷은 분석되어 DDoS 공격 패킷이면 폐기되고, 정상적인 패킷이면 노드 출력단으로 전달되는 단계;를 포함한다.
분산 서비스 거부 공격, DDoS, 패시브 태핑, 선택적 인라인, FPGA

Description

분산 서비스 거부 공격 방어 보안장치 및 그 방법{System and Method for Defending against Distributed Denial of Service Attack}
본 발명은 네트워크 자원을 보호하기 위한 보안기술에 관한 것으로, 더욱 상세하게는 고속 트래픽을 위한 플로우 기반 패킷 처리방식의 분산 서비스 거부 (DDoS: Distributed Denial of Service) 공격의 방어 시스템 및 그 방법에 관한 것이다.
일반적으로, 분산 서비스 거부 (DDoS, Distributed Denial of Service) 공격 이란 인터넷 상의 특정 웹 서버와 같은 목표 시스템 및 네트워크로 순간적으로 다량의 데이터를 보냄으로써 해당 시스템 및 네트워크가 정상적으로 동작하지 못하게 방해하는 것을 말한다.
도 1은 분산 서비스 공격(DDoS)의 일반적인 구조를 도시한 것으로, 공격자(11)는 네트워크상의 보안이 허술한 시스템들(12, 13)을 이용하여 동시에 여러 곳에서 많은 양의 공격 트래픽(14)을 발생시켜 목표 희생자 서버(15)로 보낸다.
공격 트래픽(14)의 종류로는 TCP SYN 플러딩(flooding), ICMP 플러딩, UDP 플러딩 등이 있다. 특히, TCP SYN 플러딩 같은 경우 서버에게 지속적으로 SYN 패킷을 대량으로 보냄으로써 많은 TCP 연결이 발생하게 되고 서버의 자원이 고갈된다. 분산 서비스 거부 (DDoS) 공격에 따른 피해로는 네트워크를 통한 서비스의 거부(denial of service)와 함께 네트워크에 큰 부하를 주게 된다. 이러한 공격 흐름은 겉으로는 정상적인 데이터의 흐름으로 보이기 때문에 이런 공격을 감지하여 차단하는 기술이 중요하다.
공격 트래픽의 흐름 중 공격을 감지하는 방법으로 공격자(source or attacker) 측면에서 감지하는 방법, 목적지(destination or victim) 측면에서 감지하는 방법, 및 코어 네트워크에서 감지하는 방법이 있다.
그런데, 기존의 기술들은 이미 네트워크에 많은 부하가 걸리고 나서야 분산 서비스 거부 공격을 감지하고 공격 근원지를 찾아 네트워크 상의 장비들(라우터)로 하여금 패킷 전송을 막게 하므로 이미 많은 피해가 발생된 후에 방어가 되거나, 소위 Out of Path 탐지 방법을 쓰는 경우에도 BGP(Border Gateway Protocol) 우회를 통해 수행하는데 패킷의 흐름이 BGP 우회를 수행하는 라우터에게 두 배의 트래픽 부담이 전가되어야 하고, 탐지기(detector)를 보호 대상 서브 망에 근접 배치해야 하는 등 BGP 우회를 위해 망 설정이 매우 복잡하게 된다.
그러므로 Gbps 급 이상의 초고속 네트워크 환경에서는 보다 빠르게 DDoS 공격을 감지하며, 망 설정을 보다 간편하게 할 수 있는 기술이 요구되고 있다.
본 발명은 이러한 문제를 해결하기 위해 제안된 것으로, 본 발명은 분산 서비스 거부(DDoS) 공격으로부터 보호 대상 서브네트를 효과적으로 보호하며, 구현이 간편하고, 망 설정이 간편한 DDoS 공격 방어 장치 및 방법을 제공하는 것을 목적으로 한다.
상술한 목적을 달성하기 위해, 본 발명의 일 양상에 따른 장치는 네트워크 상에서 분산 서비스 거부(DDoS) 공격을 검출하여 방어하기 위한 네트워크 탭장치로서, 입력단, 출력단, 복제 패킷 송신단, 및 처리 패킷 수신단을 구비하며, 입력단을 통하여 입력된 패킷을 복제하여 출력단측 및 복제 패킷 송신단측으로 포워딩 하는 패킷 복제부; 상기 패킷 복제부와 출력단 사이의 데이터 경로상에 위치하며, 스위치 메모리부를 구비하며, 패킷의 목적지 주소가 스위치 메모리부에 저장된 주소 데이터와 일치되면 오프하여 상기 패킷 복제부와 출력단 사이의 데이터 경로를 차단하는 소프트 스위치; 및 상기 패킷 복제부와 출력단 사이의 데이터 경로와 상기 처리 패킷 수신단과 출력단 사이의 데이터 경로 교차점 상에 위치하며, 전달되는 패킷의 처리 순서를 결정하여 출력단으로 전송하는 스케쥴러;를 포함한다.
또한 본 발명에 따른 네트워크 탭장치는 입력단과 패킷 복제부 사이의 데이터 경로상에는 필터 메모리부를 구비하는 바이패스 필터를 더 구비하며, 패킷의 목 적지 주소가 필터 메모리부에 저장된 주소 데이터와 일치되지 않을 경우에는 패킷을 출력단측으로 바이패스하는 것을 특징으로 할 수 있다.
또한, 본 발명에 따른 네트워크 보안장치는 스위치 메모리부에 저장될 주소를 저장하는 임시메모리 영역을 구비하며, 복제 패킷 송신단을 통하여 전달된 패킷이 임시 메모리영역에 저장된 주소와 동일 목적지 주소를 가질 경우 DDoS 공격 패킷으로 판단되면 패킷을 폐기 처리하고 정상 데이터로 판단되는 경우에는 해당 패킷을 처리 패킷 수신단으로 리턴하는 프로세서부를 포함하는 것을 특징으로 할 수 있다.
또한, 본 발명의 다른 양상에 따른 분산 서비스 거부(DDos) 공격 방어 방법은 네트워크의 특정 노드에 설치된 모드전환 탭장치를 포함한 보안장치를 사용하는 것으로서, 탭장치가 패시브 태핑 모드로 유지되어 노드를 통과하는 패킷이 분석되어 감시되는 단계; DDoS 공격이 감지된 경우, 탭장치가 탐지된 공격 목적지 주소를 갖는 패킷에 대하여 선택적 인라인 모드로 전환되는 단계; 및 공격 목적지 이외의 주소를 갖는 패킷은 노드를 통과하도록 하며, 공격 목적지 주소를 갖는 패킷은 분석되어 DDoS 공격 패킷이면 폐기되고, 정상적인 패킷이면 노드 출력단으로 전달되는 단계;를 포함하는 것을 특징으로 한다.
본 발명은 패시브 태핑 모드(Passive Tapping Mode)와 선택적 인라인 모드(Selective Inline Mode)가 전환 가능한 스마트 탭 장치를 이용하여, DDoS 공격 을 효과적으로 차단하는 것은 물론, FPGA(Field Programmable Gate Array) 등을 이용하여 손쉽게 구현할 수 있고, 초고속 네트워크 환경에서 실시간 동작이 가능하며, 네트워크의 특정 노드에 설치함으로써 망 설정이 매우 간편한 우수하며, 보안컴퓨터 처리 용량을 크게 줄일 수 있는 유리한 효과가 있다.
본 발명은 네트워크 상에서 분산 서비스 거부 (DDoS, Distributed Denial of Service) 공격으로부터 보호 대상 서버를 보호하기 위하여 패시브 태핑 모드(Passive Tapping Mode)와 선택적 인라인 모드(Selective Inline Mode)가 전환 가능한 스마트 탭 장치를 이용하는 기술에 관한 것이다.
본 발명의 구체적인 특징은 이하에서 설명하는 일 실시예를 통해 더욱 구체화될 것이다. 이하 첨부된 도면을 참조하여 본 발명의 일 실시예를 설명한다.
도 2은 본 발명의 일 실시예에 따른 DDoS 방어 개념을 나타낸 도면이다. 도2(a)는 탭장치(220)가 패시브 태핑(passive tapping) 모드 상태일 때의 패킷 흐름을 나타내고, 도2(b)는 탭장치(220)가 선택적 인라인(selective inline) 모드 상태일 때의 패킷 흐름을 나타낸다. 즉, 탭장치(220)는 패시브 태핑 모드와 선택적 인라인 모드로 전환이 가능한 스마트 탭으로서 오픈된 인터넷(230)으로부터 보호 대상 서브네트(240)를 구분할 수 있는 네트워크의 특정 노드에 설치된다. 탭장치(220)는 보안컴퓨터(210)에 연결되며, 평상시에는 패시브 태핑 모드로 유지되어 인터넷으로부터 수신되는 패킷을 서브네트로 전달하는 동시에 각 패킷을 복제하여 보안컴퓨터(210)로 전송한다. 보안컴퓨터(210)는 패시브 태핑 모드의 탭장치(220)로부터 전송된 패킷을 분석하여 DDoS공격이 발생하는지를 모니터링 한다. 만일 DDoS공격이 감지되는 경우 보안컴퓨터(210)는 즉시 탭장치(220)에 선택적 인라인 모드로 모드전환을 명령하여 특정 목적지를 갖는 패킷에 대하여 바이패스경로를 차단하고, 보안컴퓨터(210)는 해당 패킷을 분석하여 DDoS 공격을 하는 악의적인 패킷은 폐기하고 정상적인 패킷만을 탭장치(220)로 리턴하여 서브네트(240)로 정상적인 패킷의 흐름이 가능하도록 한다.
즉, 본 발명에 따라 네트워크(230, 240)에서의 분산 서비스 거부(DDoS) 공격을 검출하여 방어하는 시스템은 오픈 인터넷(230)으로부터 전달된 패킷 중 악의적인 패킷을 검출하여 폐기하고, 유효한 패킷만을 보호 대상의 서브네트(240)로 전달하는 것을 특징으로 한다. 보안컴퓨터(210)는 인터넷(230)으로부터 전달된 패킷을 분석하여 DDoS 공격용의 악의적인 패킷과 유효한 패킷을 판단하는 기능을 하는 패킷 판단부를 구비한다.
또한, 탭장비(220)는 수신된 패킷의 목적지 주소가 DDoS 공격 방어 서비스를 요청한 보호 대상 주소가 아닐 경우에는 패킷을 바이패스 하도록 하는 소위 선별 복제(filtered mirroring) 및 선별 인라인(filtered inlining)을 수행하게 할 수 있다. 이 경우 서비스를 요청하지 않은 목적지 주소를 갖는 패킷의 전달은 보안컴퓨터(210)를 통하지 않고 서브네트워크(240)로 바이패스 되므로, 특히 서브네트에 연결된 클라이언트가 많을 경우에 보안컴퓨터(210)가 부담할 부하를 경감시켜 준다.
상기와 같이 패시브 태핑(Passive Tapping) 모드와 선택적 인라인(Selective Inline) 모드의 전환이 가능한 스마트 탭장치는 게이트웨이 어레이와 같은 단일 소자로서 구현이 가능하다. 도3은 본 발명에 따른 스마트 탭소자를 설명하기 위한 도면이다.
스마트 탭소자(220)는 입력단(310), 출력단(320), 복제 패킷 송신단(330), 및 처리 패킷 수신단(340)을 구비하며, 오픈 인터넷(230)으로부터 입력단(310)을 통하여 입력된 패킷을 복제하여 출력단(320) 및 복제 패킷 송신단(330)으로 포워딩 하는 패킷 복제부(350)가 구비된다. 상기 패킷 복제부(350)와 출력단(320) 사이의 데이터 경로상에는 소프트 스위치(SW)가 위치하며, 소프트 스위치(SW)는 스위치 메모리부(Ms)를 구비하여 패킷의 목적지 주소가 메모리부(Ms)에 저장된 주소 데이터와 일치되면 소프트 스위치(SW)가 오프되어 상기 패킷 복제부와 출력단 사이의 데이터 경로를 차단하며, 패킷은 복제 패킷 송신단(330)을 통하여 보안컴퓨터 또는 프로세서부(210)로만 전달된다. 프로세서부는(210)는 복제 패킷 송신단(330)을 통하여 전달된 패킷을 분석하여 DDoS 공격이 있는지 여부를 지속적으로 모니터링 하여, DDoS 공격이 감지되는 경우 해당 목적지 주소를 임시 메모리 영역(M211)에 저장하고, 또한 스마트 탭소자의 스위치 메모리부(Ms)에 저장되도록 한다. 이후 프로세서부는(210)는 복제 패킷 송신단(330)을 통하여 전달된 패킷이 임시 메모리영역(M211)에 저장된 주소와 동일 목적지를 가질 경우, 이를 분석하여 DDoS 공격 패킷으로 판단되면 패킷을 폐기 처리하고 정상 데이터로 판단되면 해당 패킷을 처리 패킷 수신단(340)으로 리턴하여 준다. 상기 처리 패킷 수신단(340)으로 입력된 패킷이 출력단을 통하여 송신되도록 데이터 경로가 형성되어, 처리 패킷은 보호 대상 서브네트(240)로 전달됨으로써 정상적인 패킷은 패킷 플로우가 제한되지 않게 된다. 상기 패킷 복제부(350)와 출력단(320) 사이의 데이터 경로와 상기 처리 패킷 수신단(340)과 출력단(320) 사이의 데이터 경로의 교차점 상에 위치하는 스케쥴러(380)를 더 포함할 수 있다. 상기 스케쥴러(380)는 상기 패킷 복제부(350) 또는 상기 처리 패킷 수신단(340)으로부터 전달되는 패킷의 처리 순서를 결정하여 출력단(320)측으로 전달하는 기능을 수행한다. DDoS 공격이 해제되었다고 판단되는 경우, 프로세서부는(210)는 임시 메모리 영역(M211)에서 해당 목적지 주소를 삭제하고 스마트 탭소자의 스위치 메모리부(Ms)의 주소 데이터를 갱신한다.
상기 입력단(310)과 패킷 복제부(350) 사이의 데이터 경로상에는 필터 메모리부(Mf)를 구비하는 바이패스 필터(360)를 더 구비할 수 있다. 바이패스 필터(360)는 패킷의 목적지 주소가 필터 메모리부에 저장된 주소 데이터와 일치되지 않을 경우에는 패킷을 출력단으로 바이패스하게 된다. 상기 바이패스필터(360)로부터 출력단으로 바이패스 되는 패킷의 데이터 경로가 상기 스케쥴러(380)에 연결되도록 하며, 상기 스케쥴러(380)는 상기 패킷 복제부(350), 상기 처리 패킷 수신단(340) 또는 상기 바이패스필터(360)로부터 전달되는 패킷의 처리 순서를 결정하여 패킷 흐름을 제어할 수 있다. 예를 들어, 상기 스케쥴러(380)는 상기 패킷 복제부(350), 상기 처리 패킷 수신단(340) 또는 상기 바이패스필터(360)로부터 전달되 는 패킷 중 먼저 도달된 패킷을 우선적으로 출력단(320)으로 전송하는 FIFO제어 등을 적용할 수 있다.
필터 메모리부(Mf)에는 사전에 서비스를 신청한 고객의 주소 데이터가 저장되며, 이의 프로세서부는(210)의 고객등록부(M212)를 통하여 갱신 가능하다. 또한 입력단의 직후단에는 위치하는 수동필터(370)를 더 포함할 수 있으며, 수동필터는 전원 차단시 모든 패킷을 출력단으로 바이패스 하도록 하여 네트워크 보안장치의 전원 장애시에 패킷의 흐름이 비정상적으로 제한되는 상황을 방지하게 된다.
DDoS 공격 판단은 일반적으로 알려진 방법을 사용할 수 있으며, 예컨대 동일 목적지 주소를 갖는 패킷 수가 초당 기준 수를 초과할 경우 해당 목적지 클라이언트 서버 또는 라우터가 DDoS 공격을 받는 것으로 1차적인 판단을 할 수 있으며, 기타 추가적인 기준을 적용하여 해당 목적지를 갖는 패킷에 대하여 선택적 인라인 모드를 적용할 수 있다. 목적지 주소는 특정 목적지의 IP 주소 또는 TCP/UDP 포트 번호 등으로 특정될 수 있다. 보안 컴퓨터의 패킷 분석은 목적지 주소(Destination Address), 목적지 포트(Destination Port) 등이 포함된 헤더 부분뿐 아니라, 데이터그램(패킷)의 페이로드 데이터 부분 등을 비교하여 미리 설정된 분류 기준에 따라 패킷의 유효성 여부를 판단한다.
상기와 같은 탭장치를 FPGA 소자, 마이크로프로세서(microprocessor), ASIC 또는 이러한 것들을 결합하는 방법 등으로 다양하게 구현할 수 있으며, 패시브 태핑 모드 및 선택적 인라인 모드를 상호 전환에 의하여 Gbps 급 이상의 초고속 네트 워크 환경에서 실시간으로 전달되는 패킷을 통제할 수 있다.
상기와 같은 FPGA 소자로 구현한 탭장치 및 보안 컴퓨터를 포함하는 보안장치를 이용하여 분산 서비스 거부(DDos) 공격을 방어하는 방법은 보안장치를 서비스를 받고자 하는 클라이언트가 속하는 서브네트와 오픈된 인터넷이 특정 노드에 설치하고, 탭장치가 패시브 태핑 모드로 유지되어 노드를 통과하는 패킷이 분석되어 감시되는 단계; DDoS 공격이 감지된 경우, 탭장치가 탐지된 공격 목적지 주소를 갖는 패킷에 대하여 선택적 인라인 모드로 전환되는 단계; 공격 목적지 이외의 주소를 갖는 패킷은 노드를 통과하도록 하며, 공격 목적지 주소를 갖는 패킷은 분석되어 DDoS 공격 패킷이면 폐기되고, 정상적인 패킷이면 노드 출력단으로 전달되는 단계;를 포함한다. 이때 입력된 패킷의 목적지 주소가 미리 등록된 서비스 대상 주소와 일치되는 않는 경우에는 패킷을 출력단으로 바이패스 하는 단계를 먼저 실행할 수 있다. 또한 DDoS 공격이 해제되었다고 판단되는 경우, 탭장치가 해당 목적지 패킷에 대하여 패시브 태핑 모드로 전환되는 단계가 추가된다. 만일 탭장치에 전원이 차단되는 경우에는 모든 패킷을 출력단으로 바이패스 하는 것은 앞서 설명된 바와 같다.
즉, 서비스 요청 목적지 주소를 포함하는 패킷인지 여부에 따라 바이패스 모드와 패시브 태핑 모드가 결정되고, 보안컴퓨터에 의하여 패킷의 유효성을 판단하고, 이에 따라 패시브 태핑 모드와 선택적 인라인 모드가 결정되는 방법이다.
상기한 본 발명의 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대한 통상의 지식을 가진 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가가 가능할 것이며, 이러하 수정, 변경 및 부가는 하기의 특허청구범위에 속하는 것으로 보아야 할 것이다. 또한, 상기의 실시예로 도시된 도면은 확대 또는 축소하여 도시된 것으로 보아야 할 것이다.
도1은 분산 서비스 공격(DDoS)의 일반적인 구조를 도시한 도면이다.
도2는 본 발명의 일 실시예에 따른 DDoS 방어 개념을 나타낸 도면이다.
도3은 본 발명에 따른 스마트 탭소자를 설명하는 도면이다.

Claims (14)

  1. 네트워크 상에서 분산 서비스 거부(DDoS) 공격을 검출하여 방어하기 위한 네트워크 탭장치로서, 입력단, 출력단, 복제 패킷 송신단, 및 처리 패킷 수신단을 구비하며,
    입력단을 통하여 입력된 패킷을 복제하여 출력단측 및 복제 패킷 송신단측으로 포워딩 하는 패킷 복제부;
    상기 패킷 복제부와 출력단 사이의 데이터 경로상에 위치하며, 스위치 메모리부를 구비하며, 패킷의 목적지 주소가 스위치 메모리부에 저장된 주소 데이터와 일치되면 오프하여 상기 패킷 복제부와 출력단 사이의 데이터 경로를 차단하는 소프트 스위치;
    상기 소프트 스위치와 출력단 사이의 데이터 경로와 상기 처리 패킷 수신단과 출력단 사이의 데이터 경로의 교차점상에 위치되며, 전달되는 패킷의 처리 순서를 결정하여 출력단으로 전송하는 스케쥴러; 및
    상기 입력단과 패킷 복제부 사이의 데이터 경로상에는 필터 메모리부를 구비하는 바이패스 필터;를 포함하며,
    상기 바이패스 필터는 패킷의 목적지 주소가 필터 메모리부에 저장된 주소 데이터와 일치되지 않을 경우에는 패킷을 출력단으로 바이패스하는 네트워크 탭장치.
  2. 삭제
  3. 제1항에 있어서,
    상기 바이패스필터로부터 출력단측으로 바이패스 되는 패킷의 데이터 경로가 상기 스케쥴러에 연결되는 것을 특징으로 하는 네트워크 탭장치.
  4. 제1항 또는 제3항 중 어느 한 항에 있어서,
    상기 입력단의 직후단에위치하는 수동필터를 더 포함하며,
    상기 수동필터는 전원 차단시 모든 패킷을 출력단으로 바이패스 하는 것을 특징으로 하는 네트워크 탭장치.
  5. 네트워크 상에서 분산 서비스 거부(DDoS) 공격을 검출하여 방어하기 위하여 게이트웨이 어레이부와 프로세서부를 포함하는 네트워크 보안장치로서,
    상기 게이트웨이 어레이부는 입력단, 출력단, 복제 패킷 송신단, 및 처리 패킷 수신단을 구비하고,
    입력단을 통하여 입력된 패킷을 복제하여 출력단측 및 복제 패킷 송신단측으로 포워딩 하는 패킷 복제부;
    상기 패킷 복제부와 출력단 사이의 데이터 경로상에 위치하며, 스위치 메모리부를 구비하며, 패킷의 목적지 주소가 스위치 메모리부에 저장된 주소 데이터와 일치되면 오프하여 상기 패킷 복제부와 출력단 사이의 데이터 경로를 차단하는 소프트 스위치;
    상기 처리 패킷 수신단으로 수신된 패킷이 출력단을 통하여 전달되도록 데이터 경로; 및
    상기 입력단과 패킷 복제부 사이의 데이터 경로상에는 필터 메모리부를 구비하는 바이패스 필터;를 포함하며,
    상기 프로세서부는 스위치 메모리부에 저장될 주소를 저장하는 임시메모리 영역을 구비하며, 복제 패킷 송신단을 통하여 전달된 패킷이 임시메모리영역에 저장된 주소와 동일 목적지 주소를 가질 경우 DDoS 공격 패킷으로 판단되면 패킷을 폐기 처리하고 정상 데이터로 판단되는 경우에는 해당 패킷을 처리 패킷 수신단으로 리턴하며,
    상기 바이패스 필터는 패킷의 목적지 주소가 필터 메모리부에 저장된 주소 데이터와 일치되지 않을 경우에는 패킷을 출력단으로 바이패스하는 것을 특징으로 하는 네트워크 보안장치.
  6. 제5항에 있어서,
    상기 패킷 복제부와 출력단 사이의 데이터 경로와 상기 처리 패킷 수신단과 출력단 사이의 데이터 경로 교차점 상에 위치하며, 전달되는 패킷의 처리 순서를 결정하여 출력단으로 전송하는 스케쥴러;를 더 포함하는 네트워크 보안장치.
  7. 삭제
  8. 제5항 또는 제6항에 있어서,
    상기 입력단의 직후단에 위치하는 수동필터를 더 포함하며,
    상기 수동필터는 전원 차단시 모든 패킷을 출력단으로 바이패스 하는 것을 특징으로 하는 네트워크 보안장치.
  9. 제5항 또는 제6항에 있어서,
    스위치 메모리부의 주소 데이터는 프로세서부에 의하여 갱신 가능한 것을 특징으로 하는 네트워크 보안장치.
  10. 제5항에 있어서,
    필터 메모리부의 주소 데이터는 프로세서부에 의하여 갱신 가능한 것을 특징으로 하는 네트워크 보안장치.
  11. 네트워크의 특정 노드에 설치된 모드전환 탭장치를 포함한 보안장치를 사용하는 분산 서비스 거부(DDos) 공격 방어 방법에 있어서,
    탭장치가 패시브 태핑 모드로 유지되어 노드를 통과하는 패킷이 분석되어 감시되는 단계;
    DDoS 공격이 감지된 경우, 탭장치가 탐지된 공격 목적지 주소를 갖는 패킷에 대하여 선택적 인라인 모드로 전환되는 단계; 및
    공격 목적지 이외의 주소를 갖는 패킷은 노드를 통과하도록 하며, 공격 목적지 주소를 갖는 패킷은 분석되어 DDoS 공격 패킷이면 폐기되고, 정상적인 패킷이면 노드 출력단으로 전달되는 단계;를 포함하며,
    입력된 패킷의 목적지 주소가 미리 등록된 서비스 대상 주소와 일치되는 않는 경우에는 패킷을 출력단으로 바이패스 하는 단계를 먼저 실행하는 분산 서비스 거부(DDos) 공격 방어 방법.
  12. 제11항에 있어서,
    DDoS 공격이 해제되었다고 판단되는 경우, 탭장치가 해당 목적지 패킷에 대하여 패시브 태핑 모드로 전환되는 단계;를 더 포함하는 분산 서비스 거부(DDos) 공격 방어 방법.
  13. 삭제
  14. 제11항 또는 제12항에 있어서,
    탭장치에 전원이 차단되는 경우에는 모든 패킷을 출력단으로 바이패스 하는 것을 특징으로 하는 분산 서비스 거부(DDos) 공격 방어 방법.
KR1020090018051A 2009-03-03 2009-03-03 분산 서비스 거부 공격 방어 보안장치 및 그 방법 KR101028101B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090018051A KR101028101B1 (ko) 2009-03-03 2009-03-03 분산 서비스 거부 공격 방어 보안장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090018051A KR101028101B1 (ko) 2009-03-03 2009-03-03 분산 서비스 거부 공격 방어 보안장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20100099513A KR20100099513A (ko) 2010-09-13
KR101028101B1 true KR101028101B1 (ko) 2011-04-08

Family

ID=43005800

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090018051A KR101028101B1 (ko) 2009-03-03 2009-03-03 분산 서비스 거부 공격 방어 보안장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR101028101B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101979157B1 (ko) * 2018-09-27 2019-05-15 이광원 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020085053A (ko) * 2001-05-04 2002-11-16 이재형 네트워크 트래픽 흐름 제어 시스템
KR20040044209A (ko) * 2002-11-19 2004-05-28 한국전자통신연구원 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치
KR100596362B1 (ko) 2006-03-27 2006-07-05 주식회사 윈스테크넷 네트워크 트래픽 제어 시스템 및 그 방법
KR20080021492A (ko) * 2006-08-31 2008-03-07 영남대학교 산학협력단 플로우 기반 패킷 처리방식의 분산 서비스 거부 공격 방어시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020085053A (ko) * 2001-05-04 2002-11-16 이재형 네트워크 트래픽 흐름 제어 시스템
KR20040044209A (ko) * 2002-11-19 2004-05-28 한국전자통신연구원 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치
KR100596362B1 (ko) 2006-03-27 2006-07-05 주식회사 윈스테크넷 네트워크 트래픽 제어 시스템 및 그 방법
KR20080021492A (ko) * 2006-08-31 2008-03-07 영남대학교 산학협력단 플로우 기반 패킷 처리방식의 분산 서비스 거부 공격 방어시스템 및 방법

Also Published As

Publication number Publication date
KR20100099513A (ko) 2010-09-13

Similar Documents

Publication Publication Date Title
US8175096B2 (en) Device for protection against illegal communications and network system thereof
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
Ioannidis et al. Implementing pushback: Router-based defense against DDoS attacks
US7707305B2 (en) Methods and apparatus for protecting against overload conditions on nodes of a distributed network
JP5826920B2 (ja) 遮断サーバを用いたスプーフィング攻撃に対する防御方法
US8484372B1 (en) Distributed filtering for networks
US9432385B2 (en) System and method for denial of service attack mitigation using cloud services
EP3846406A1 (en) Dynamic security actions for network tunnels against spoofing
US20180091547A1 (en) Ddos mitigation black/white listing based on target feedback
US20090013404A1 (en) Distributed defence against DDoS attacks
US20060212572A1 (en) Protecting against malicious traffic
CN108353068B (zh) Sdn控制器辅助的入侵防御***
US20160294871A1 (en) System and method for mitigating against denial of service attacks
WO2002021771A1 (en) Device to protect victim sites during denial of service attacks
JP6599819B2 (ja) パケット中継装置
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
WO2003050644A2 (en) Protecting against malicious traffic
Mohammadi et al. Practical extensions to countermeasure dos attacks in software defined networking
Geneiatakis et al. A multilayer overlay network architecture for enhancing IP services availability against DoS
CA2469885C (en) Protecting against malicious traffic
KR101028101B1 (ko) 분산 서비스 거부 공격 방어 보안장치 및 그 방법
CN110071905B (zh) 用于提供连接的方法、边界网络以及ip服务器
JP2004248185A (ja) ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
Du et al. Mantlet trilogy: ddos defense deployable with innovative anti-spoofing, attack detection and mitigation
US20050086524A1 (en) Systems and methods for providing network security with zero network footprint

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140224

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150226

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160323

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190402

Year of fee payment: 9