KR101054705B1 - 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치 - Google Patents

위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치 Download PDF

Info

Publication number
KR101054705B1
KR101054705B1 KR1020097018353A KR20097018353A KR101054705B1 KR 101054705 B1 KR101054705 B1 KR 101054705B1 KR 1020097018353 A KR1020097018353 A KR 1020097018353A KR 20097018353 A KR20097018353 A KR 20097018353A KR 101054705 B1 KR101054705 B1 KR 101054705B1
Authority
KR
South Korea
Prior art keywords
data packet
modified
port
response
response data
Prior art date
Application number
KR1020097018353A
Other languages
English (en)
Other versions
KR20090115198A (ko
Inventor
수잔 마리 커헤인
제랄드 프란시스 맥브리어티
션 패트릭 물렌
제시카 카롤 무릴로
자니 멩-한 시에
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20090115198A publication Critical patent/KR20090115198A/ko
Application granted granted Critical
Publication of KR101054705B1 publication Critical patent/KR101054705B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Burglar Alarm Systems (AREA)
  • Measuring Fluid Pressure (AREA)
  • Time-Division Multiplex Systems (AREA)

Abstract

포트 스캔 방지를 위한 컴퓨터 구현 방법, 장치 및 컴퓨터 프로그램 제품. 변형된 전송 제어 프로토콜을 가진 응답 데이터 패킷은 포트 스캔을 탐지하는 것에 응답하여 변형된 응답 데이터 패킷을 구성하기 위하여 발생된다. 변형된 응답 데이터 패킷은 변형된 데이터 패킷의 수신측으로부터의 응답을 이끌어낼 것이다. 응답 데이터 패킷은 포트 스캔과 연관된 제1 인터넷 프로토콜 어드레스로 보내진다. 제2 인터넷 프로토콜 어드레스는 변형된 응답 데이터 패킷에 대한 응답의 헤더로부터 식별된다. 제2 인터넷 프로토콜 어드레스는 포트 스캔의 발생지의 실제 인터넷 프로토콜 어드레스이다. 제2 인터넷 프로토콜 어드레스로부터의 모든 네트워크 트래픽은 차단되어 포트 스캔의 발생지로부터의 모든 열린 포트에 대한 공격을 방지할 수 있다.
포트 스캔, 전송 제어 프로토콜, 데이터 패킷, 인터넷 프로토콜 어드레스, 열린 포트, 닫힌 포트.

Description

위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치{METHOD AND APPARATUS FOR DETECTING PORT SCANS WITH FAKE SOURCE ADDRESS}
본 발명은 일반적으로 데이터 처리 시스템에 관한 것으로서, 특히 데이터 처리 시스템 보안을 위한 방법 및 장치에 관한 것이다. 특히 본 발명은 위조 발생지 인터넷 프로토콜 어드레스를 이용하는 포트 스캐너를 차단하기 위한 컴퓨터 구현 방법, 장치 및 컴퓨터 이용 프로그램 코드에 관한 것이다.
네트워크에 연결된 클라이언트와 같은 컴퓨팅 장치 사용자는 예컨대 서버와 같은 다른 컴퓨팅 장치에서 이용될 수 있는 애플리케이션이나 기타 다른 서비스와 관련된 서버 상의 포트에 연결함으로써 그 애플리케이션이나 서비스를 실행할 수 있다. 포트는 네트워크에서 클라이언트와 서버 간의 논리적 접속에 대한 종단점이다. 포트는 통상적으로 포트 번호로 식별된다. 서버 상에서 이용될 수 있는 각 애플리케이션은 서로 다른 포트 번호와 연관된다.
즉 포트는 컴퓨터 상의 특정 애플리케이션에 대한 도어나 게이트웨이와 같은 것이다. 도어처럼 포트도 열리거나 닫힐 수 있다. 서버 상의 열린 포트는 하나 또는 그 이상의 클라이언트 컴퓨터에 의해 사용되는, 서버 상에서 현재 이용될 수 있는 애플리케이션과 연관된 포트이다. 닫힌 포트는 서버 상에서 이용될 수 있는 애플리케이션이나 서비스와 연관되지 않은 포트이다. 해커는 통상적으로 닫힌 포트를 통해서는 컴퓨터에 접근할 수 없다.
컴퓨팅 장치는 서버 상의 특정 애플리케이션과 연관된 포트 번호를 특정함으로써 그 특정 애플리케이션에 접근할 수 있다. 그러나 때로는 무인가된 사용자 또는 악의적인 사용자가 서버를 공격할 목적으로 서버 상의 애플리케이션이나 서비스에 접근하려고 하는 수가 있다. 이러한 사용자를 통상적으로 해커 또는 컴퓨터 크랙커라고 한다. 해커에 의해 공격받은 서버는 의도된 피해자라고 할 수 있다.
일반적으로 해커는 의도된 피해자에서 어떤 애플리케이션이나 서비스가 이용가능한지를 알지 못한다. 그러므로 해커는 포트 스캔을 실행할지도 모른다. 포트 스캔은 어느 포트가 가용 애플리케이션이나 서비스와 연관하여 열린 포트이고 어느 포트가 닫힌 포트인지를 판단하기 위하여 컴퓨터 포트를 체계적으로 스캐닝하는 방법이다. 포트 스캐닝에서는 알려진 포트와의 접속을 요구하는 일련의 메시지가 전송된다. 의도된 피해자로부터 수신된 응답은 알려진 포트가 열린 포트인지 아니면 닫힌 포트인지를 표시한다. 포트 스캐닝은 해커가 공격에 취약할 수 있는 컴퓨터로의 열린 액세스 포인트의 위치를 찾아내는데 이용된다.
일단 취약한 열린 포트의 위치가 찾아지면 해커는 공격당한 열린 포트와 연관된 애플리케이션의 자원이 그 애플리케이션의 의도된 사용자에게 이용될 수 없도록 할 수 있는 공격을 개시할 수 있다. 이 형태의 공격을 때로는 서비스 거부(denial-of-service: DOS) 공격이라 한다.
이 문제에 대한 한 가지 해결책은 포트 스캔 방지(port scan protection) 소 프트웨어를 설치하는 것이다. 현재 사용되고 있는 포트 스캔 방지 소프트웨어는 포트 스캔의 일부일 수 있는 접속 요구에서의 발생지 인터넷 프로토콜(IP) 어드레스를 식별한다. 그러면 이 포트 스캔 방지 소프트웨어는 그 발생지 IP 어드레스를 차단한다. 즉 이 포트 스캔 방지 소프트웨어는 그 발생지 IP 어드레스로부터 어떠한 부가적인 메시지들이 수신될 수 없도록 한다. 이것은 그 발생지 IP 어드레스를 사용하는 해커의 의한 후속 공격을 방지할 수 있다.
그러나 해커는 열린 포트를 찾는 포트 스캔 중에 위조 발생지 IP 어드레스를 이용하여 현재 포트 스캔 방지 소프트웨어를 우회하여 왔다. 포트 스캔 소프트웨어가 포트 스캔이 일어날 수 있음을 인식하면 포트 스캔 방지 소프트웨어는 이 포트 스캔 메시지에서 식별된 위조 IP 어드레스를 차단한다. 그러나 현재 포트 스캔 방지 소프트웨어는 해커의 실제 IP 어드레스를 차단하지 못한다. 따라서 해커는 포트 스캔 방지 소프트웨어가 차단하지 못하는 해커의 실제 IP 어드레스를 이용하여 임의의 열린 포트에 대해 여전히 자유롭게 공격할 수 있다. 이러한 공격은 의도된 피해자가 제공하는 애플리케이션 및/또는 서비스에의 합법적 접근을 시도하는 사용자에 대한 서비스 거부(DOS) 결과로 이어질 수 있다. 게다가 이러한 공격은 애플리케이션 및/또는 서비스가 이용될 수 없는 동안의 시간, 데이터 및 수익의 손실로 이어질 수 있다.
예시된 실시예들은 포트 스캔 방지를 위한 컴퓨터 구현 방법, 장치 및 컴퓨터 이용 프로그램 코드를 제공한다. 일 실시예에서 프로세스는 포트 스캔 탐지에 응답하여 변형된 응답 데이터 패킷을 구성하는 데이터 패킷을 전송하는데 이용되는 프로토콜에 대한 변형된 헤더를 가진 응답 데이터 패킷을 발생한다. 일 실시예에서 데이터 패킷을 전송하는데 이용되는 프로토콜에 대한 변형된 헤더는 변형된 전송 제어 프로토콜 헤더이다.
변형된 응답 데이터 패킷은 변형된 데이터 패킷의 수신자로부터의 응답을 이끌어낼 것이다. 이 프로세스는 이 응답 데이터 패킷을 포트 스캔과 연관된 제1 라우팅 어드레스에 전송한다.
프로세스는 변형된 응답 데이터 패킷에 대한 응답 수신에 응답하여 응답 데이터 패킷의 헤더에 있는 제2 라우팅 어드레스를 식별한다. 이 제2 라우팅 어드레스는 포트 스캔의 발생지의 실제 라우팅 어드레스이다. 그러면 제2 라우팅 어드레스로부터의 모든 네트워크 트래픽은 차단되어 어떠한 열린 포트에 대한 공격을 막을 수 있다. 일 실시예에서 제1 라우팅 어드레스는 제1 인터넷 프로토콜 어드레스이고 제2 라우팅 어드레스는 제2 인터넷 프로토콜 어드레스이다.
데이터 패킷을 전송하는 사용된 프로토콜에 대한 변형된 헤더는 불량 시퀀스 번호를 포함할 수 있다. 이 불량 시퀀스 번호는 시퀀스 번호의 허용 범위 밖에 있는 시퀀스 번호 또는 응답 데이터 패킷의 수신자로부터의 응답을 도출해 내는 프로토콜이다. 다른 실시예에서 변형된 헤더는 리셋 플래그 또는 피니시 플래그이다. 다른 실시예에서 변형된 헤더는 변형된 응답 데이터 패킷을 발생하는데 사용된 체크섬(checksum)을 변경함으로써 발생된다.
제1 양상에 따라서 본 발명은 포트 스캔을 탐지하는 것에 응답하여, 변형된 응답 데이터 패킷의 수신측으로부터 응답을 얻는 변형된 응답 데이터 패킷을 구성하기 위하여 데이터 패킷을 전송하는데 이용된 프로토콜에 대한 변형된 헤더를 가진 응답 데이터 패킷을 발생하는 단계; 상기 변형된 응답 데이터 패킷을 상기 포트 스캔과 연관된 제1 라우팅 어드레스에 전송하는 단계; 및 상기 변형된 응답 데이터 패킷에 대한 상기 응답을 수신하는 것에 응답하여, 상기 응답의 헤더 내의, 상기 포트 스캔의 발생지의 실제 라우팅 어드레스인 제2 라우팅 어드레스를 식별하는 단계를 포함하는 포트 스캔 방지 방법을 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더는 시퀀스 번호의 허용 범위 밖에 있는 시퀀스 번호를 포함하는 포트 스캔 방지 방법을 제공한다.
바람직하게는 본 발명은 상기 시퀀스 번호가 상기 수신측으로부터의 응답을 얻을 프로토콜 위반(violation)인 포트 스캔 방지 방법을 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더는 리셋 플래그를 포함하는 포트 스캔 방지 방법을 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더는 피니시 플래그를 포함하는 포트 스캔 방지 방법을 제공한다.
바람직하게는 본 발명은 상기 헤더를 변형시키는 것은 상기 변형된 응답 데이터 패킷을 발생하는데 이용된 체크섬을 변경하는 것을 포함하는 포트 스캔 방지 방법을 제공한다.
바람직하게는 본 발명은 임의의 열린 포트에 대한 공격을 방지하기 위하여 상기 제2 라우팅 어드레스로부터 나오는 네트워크 트래픽을 차단하는 단계를 더 포함하는 포트 스캔 방지 방법을 제공한다.
바람직하게는 본 발명은 상기 제1 라우팅 어드레스가 컴퓨팅 장치의 올바른 라우팅 어드레스가 아닌 포트 스캔 방지 방법을 제공한다.
바람직하게는 본 발명은 포트 스캔 데이터 패킷을 수신하는 것에 응답하여 상기 포트 스캔 데이터 패킷 내의 발생지 라우팅 어드레스를 상기 제1 라우팅 어드레스로 인식하는 단계를 더 포함하는 포트 스캔 방지 방법을 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더는 변형된 전송 제어 프로토콜 헤더인 포트 스캔 방지 방법을 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더는 변형된 사용자 데이터그램 프로토콜 헤더인 포트 스캔 방지 방법을 제공한다.
바람직하게는 본 발명은 상기 제1 라우팅 어드레스는 제1 인터넷 프로토콜 어드레스이고 상기 제2 라우팅 어드레스는 제2 인터넷 프로토콜 어드레스인 포트 스캔 방지 방법을 제공한다.
제2 양상에 따라서, 본 발명은 버스 시스템; 상기 버스 시스템에 연결된 통신 시스템; 상기 버스 시스템에 연결된 메모리를 포함하며, 상기 메모리는 컴퓨터 이용 프로그램 코드; 및 상기 버스 시스템에 연결되어, 포트 스캔을 탐지하는 것에 응답하여, 변형된 응답 데이터 패킷의 수신측으로부터 응답을 얻는 변형된 응답 데이터 패킷을 구성하기 위하여 데이터 패킷을 전송하는데 이용된 프로토콜에 대한 변형된 헤더를 가진 응답 데이터 패킷을 발생하고; 상기 변형된 응답 데이터 패킷을 상기 포트 스캔과 연관된 제1 라우팅 어드레스에 전송하고; 그리고 상기 변형된 응답 데이터 패킷에 대한 상기 응답을 수신하는 것에 응답하여, 상기 응답의 헤더 내의, 상기 포트 스캔의 발생지의 실제 라우팅 어드레스인 제2 라우팅 어드레스를 식별하도록 상기 컴퓨터 이용 프로그램 코드를 실행하는 처리 유닛을 포함하는 장치를 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더는 허용될 수 있는 시퀀스 번호의 범위 밖에 있는 시퀀스 번호인 장치를 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더는 리셋 플래그를 포함하는 장치를 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더는 피니시 플래그를 포함하는 장치를 제공한다.
바람직하게는 본 발명은 상기 프로세서는 임의의 열린 포트에 대한 공격을 방지하기 위하여 상기 제2 라우팅 어드레스로부터 나오는 모든 네트워크 트래픽을 차단하도록 상기 컴퓨터 이용 프로그램 코드를 실행하는 장치를 제공한다.
바람직하게는 본 발명은 상기 시퀀스 번호가 상기 응답 데이터 패킷으로부터 응답을 얻는 프로토콜 위반인 장치를 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더는 변형된 전송 제어 프로토콜 헤더인 장치를 제공한다.
바람직하게는 본 발명은 상기 제1 라우팅 어드레스는 제1 인터넷 프로토콜 어드레스이고 상기 제2 라우팅 어드레스는 제2 인터넷 프로토콜 어드레스인 장치를 제공한다.
제3 양상에 따라서, 본 발명은 포트 스캔 데이터 패킷을 탐지하고, 포트 스캔을 탐지하는 것에 응답하여, 변형된 응답 데이터 패킷을 구성하기 위하여 데이터 패킷을 전송하는데 이용된 프로토콜에 대한 변형된 헤더를 가진 응답 데이터 패킷을 발생하기 위한 개량형 포트 스캔 방지 소프트웨어; 및 상기 변형된 응답 데이터 패킷의 응답의 헤더 내의, 상기 포트 스캔의 발생지의 실제 라우팅 어드레스인 발생지 라우팅 어드레스를 식별하는 발생지 인터넷 프로토콜 어드레스 탐지기를 포함하는 호스트 컴퓨터를 포함하는 포트 스캔 방지 시스템을 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더가 상기 응답 데이터 패킷의 수신측으로부터의 응답을 트리거하는 프로토콜 위반을 포함하는 포트 스캔 방지 시스템을 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더가 리셋 플래그 또는 피니시 플래그를 포함하는 포트 스캔 방지 시스템을 제공한다.
바람직하게는 본 발명은 상기 호스트 컴퓨터가 제1 컴퓨터이고, 제2 컴퓨터를 더 포함하되, 상기 제2 컴퓨터는 상기 제2 컴퓨터에 대한 올바른 라우팅 어드레스가 아닌 위조 발생지 라우팅 어드레스를 가진 포트 스캔 데이터 패킷을 상기 제1 컴퓨터에 보냄으로써 상기 제1 컴퓨터 상에서 상기 포트 스캔을 수행하는 포트 스캐너; 및 상기 변형된 응답 데이터 패킷에 대한 응답을 자동적으로 발생하는 전송 제어 프로토콜/인터넷 프로토콜 계층을 포함하는 포트 스캔 방지 시스템을 제공한다.
제4 양상에 따라서,본 발명은 디지털 컴퓨터의 내부 메모리에 로드될 수 있는 컴퓨터 프로그램 제품에 있어서, 상기 제품이 컴퓨터 상에서 실행될 때에 청구항 1 내지 12에 따른 방법의 모든 단계를 실시하도록 수행되는 소프트웨어 코드 부분을 포함하는 컴퓨터 프로그램 제품을 제공한다.
제5 양상에 따라서, 포트 스캔 방지를 위한 컴퓨터 이용 프로그램 코드를 포함하는 컴퓨터 이용 매체를 포함하고, 포트 스캔을 탐지하는 것에 응답하여, 변형된 응답 데이터 패킷의 수신측으로부터의 응답 데이터 패킷을 이끌어낼 변형된 응답 데이터 패킷을 구성하기 위하여 데이터 패킷을 전송하는데 이용된 프로토콜에 대한 변형된 헤더를 가진 응답 데이터 패킷을 발생하기 위한 컴퓨터 이용 프로그램 코드; 상기 변형된 응답 데이터 패킷을 상기 포트 스캔과 연관된 제1 라우팅 어드레스로 보내기 위한 컴퓨터 이용 프로그램 코드; 및 상기 응답 데이터 패킷을 수신하는 것에 응답하여 상기 응답 데이터 패킷의 헤더 내의, 상기 포트 스캔의 발생지의 실제 라우팅 어드레스인 제2 라우팅 어드레스를 식별하기 위한 컴퓨터 이용 포그램 코드를 포함하는 컴퓨터 프로그램 제품을 제공한다.
바람직하게는 본 발명은 상기 시퀀스 번호가 시퀀스 번호의 허용 범위 밖에 있는 시퀀스 번호인 컴퓨터 프로그램을 제공한다.
바람직하게는 본 발명은 상기 시퀀스 번호가 응답 데이터 패킷의 수신측으로부터 응답을 얻을 프로토콜 위반인 컴퓨터 구현 방법을 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더가 리셋 플래그를 포함하는 컴퓨터 프로그램 제품을 제공한다.
바람직하게는 본 발명은 상기 프로토콜에 대한 상기 변형된 헤더가 피니시 플래그를 포함하는 컴퓨터 프로그램 제품을 제공한다.
이하 본 발명의 실시예들에 대해 첨부 도면을 참조로 예시를 통해 상세히 설명한다.
도 1은 본 발명의 바람직한 실시예가 구현될 수 있는 데이터 처리 시스템의 네트워크를 도시한 도.
도 2는 본 발명의 바람직한 실시예가 구현될 수 있는 데이터 처리 시스템의 블록도.
도 3은 본 발명의 바람직한 실시예에 따른 개방형 시스템간 상호 접속(open systems interconnection: OSI) 기본 참조 모델의 블록도.
도 4는 현재 사용되는 포트 스캔 방지 기구를 도시한 블록도.
도 5는 본 발명의 바람직한 실시예에 따른 위조 발생지 IP 어드레스를 가진 포트 스캔을 검출하기 위한 포트 스캔 방지 시스템을 통한 흐름을 도시한 블록도.
도 6은 본 발명의 바람직한 실시예에 따른 포트 스캔 방지 기구를 도시한 블록도.
도 7은 본 발명의 바람직한 실시예에 따른 포트 스캔 중에 전송된 포트 스캔 패킷을 예시도.
도 8은 본 발명의 바람직한 실시예에 따른 위조 발생지 IP 어드레스를 가진 포트 스캔을 검출하기 위한 프로세스를 나타낸 플로우차트.
도 9는 본 발명의 바람직한 실시예에 따른 응답 데이터 패킷을 변형하기 위한 프로세스를 나타낸 플로우차트.
이제 도면, 특히 도 1과 2를 참조로 예시적인 실시예가 구현될 수 있는 데이터 처리 환경의 예시도가 제공된다. 도 1과 2는 단지 예시적이며 다른 실시예가 구현될 수 있는 환경에 대한 어떠한 제한을 주장하거나 암시하려는 것이 아님을 알아야 한다. 도시된 환경에 대한 여러 가지 변형이 가능할 수 있다.
이제 도면을 참조로 설명하면, 도 1은 예시적인 실시예가 구현될 수 있는 데이터 처리 시스템의 네트워크를 도시한 도이다. 네트워크 데이터 처리 시스템(100)은 실시예가 구현될 수 있는 컴퓨터 네트워크이다. 네트워크 데이터 처리 시스템(100)은 네트워크 데이터 처리 시스템(100) 내에 함께 연결된 각종 디바이스와 컴퓨터들 산의 통신 링크를 제공하는데 사용된 매체인 네트워크(102)를 포함한다. 네트워크(102)는 유선, 무선 통신 링크 또는 광파이버 케이블과 같은 접속부를 포함할 수 있다.
도시된 예에서 서버(104, 106)는 저장 유닛(108)과 함께 네트워크(102)에 연결된다. 그외에도 클라이언트(110, 112, 114)가 네트워크(102)에 연결된다. 이들 클라이언트(110, 112, 114)는 예컨대 개인용 컴퓨터나 네트워크 컴퓨터일 수 있다. 도시된 예에서 서버(104)는 부트 파일, 운영 체제 이미지나 애플리케이션과 같은 데이터를 클라이언트(110, 112, 114)에 제공한다. 이 예에서 클라이언트(110, 112, 114)는 서버(104)에 대한 클라이언트이다. 네트워크 데이터 처리 시스 템(100)은 도시되지 않은 추가적인 서버, 클라이언트나 기타 다른 디바이스를 포함할 수 있다.
클라이언트(110)와 같은 컴퓨팅 장치는 네트워크(102) 상에서 이용될 수 있는 서버(106)와 같은 다른 컴퓨팅 장치 상에서 이용될 수 있는 원하는 애플리케이션이나 기타 다른 서비스와 연관된 서버(106) 상의 포트에 연결함으로써 그 애플리케이션이나 서비스를 실행할 수 있다. 애플리케이션은 컴퓨팅 장치의 자원을 이용하여 사용자를 위한 작업이나 서비스를 수행하는 컴퓨터 소프트웨어이다.
포트는 네트워크(102) 내의 클라이언트(110)와 서버(106) 간의 논리적 접속으로의 종단점이다. 포트들은 통상적으로 포트 번호로 식별된다. 포트 번호는 0에서 65,536의 범위에 이른다. 포트 번호는 인터넷 할당 번호 관리 기관(Internet Assigned Numbers Authority: IANA)에서 할당한다. 인터넷 할당 번호 관리 기관은 국제 인터넷 주소관리 기구(Internet Corporation for Assigned Names and Numbers: ICANN)에서 운영한다.
서버(104 또는 106) 상에서 이용될 수 있는 각 애플리케이션은 서로 다른 포트 번호와 연관된다. 어떤 포트 번호는 주어진 포트와 연관된 애플리케이션이나 서비의 종류에 따라 미리 할당된다. 이들 미리 할당된 또는 표준 포트 번호를 주지 포트라고 한다. 특정 서비스 및 애플리케이션에 지정된 또는 미리 할당된 주지 포트 번호의 수는 대략 1,024개이다. 예컨대 주지 포트 번호는 하이퍼텍스트 전송 프로토콜(HTTP) 트랙픽을 위해서는 포트 80, 텔넷을 위해서는 포트 23, 단순 메일 전송 프로토콜(SMTP)을 위해서는 포트 25, 도메인 네임 서버(DNS)을 위해서는 포트 53, 그리고 인터넷 릴레이 채트(IRC)를 위해서는 포트 194를 포함하나 이에 한정되는 것은 아니다. 따라서 하이퍼텍스트 전송 프로토콜을 위해 지정된 임의의 서버 상의 임의의 포트는 통상적으로 80의 할당된 포트 번호를 가질 것이다.
클라이언트(110)는 서버(104 또는 106) 상의 특정 애플리케이션과 연관된 포트 번호를 특정하는 접속 요구를 전송함으로써 그 특정 애플리케이션에 접근할 수 있다.
도시된 예에서 네트워크 데이터 처리 시스템(100)은 서로 통신하는 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP) 스위트를 사용하는 전세계적인 네트워크 및 게이트웨이 집합체를 나타내는 네트워크(102)를 가진 인터넷이다. 인터넷의 중심에는 데이터와 메시지를 라우팅하는 수많은 상업적, 정부, 교육 및 기타 다른 컴퓨터 시스템으로 이루어진 주요 노드들 또는 호스트 컴퓨터들 간의 고속 데이터 통신 라인의 백본(backbone)이 있다. 물론 네트워크 데이터 처리 시스템(100)은 예컨대 인트라넷, 근거리 통신망(LAN)이나 광역 통신망(WAN)과 같은 여러 가지 각종 네트워크로도 구현될 수 있다. 도 1은 여러 가지 실시예에 대한 예를 보여주는 것일 뿐 실시예를 구조적으로 한정하려는 것이 아니다.
이제 도 2를 참조로 설명하면, 예시적인 실시예가 구현될 수 있는 데이터 처리 시스템의 블록도가 도시되어 있다. 데이터 처리 시스템(200)은 예시적인 실시예에서 프로세스를 구현하는 컴퓨터 사용 코드나 명령이 위치될 수 있는 도 1의 서버(106)나 클라이언트(110)와 같은 컴퓨터의 일례이다.
도시된 예에서 데이터 처리 시스템(200)은 노스 브리지 및 메모리 컨트롤러 허브(MCH)(202)와 사우스 브리지 및 입/출력(I/O) 컨트롤러 허브(ICH)(204)를 포함하는 허브 구조를 채용한다. 처리 유닛(206), 메인 메모리(208) 및 그래픽 프로세서(210)는 노스 브리지 및 메모리 컨트롤러 허브(202)에 연결된다. 처리 유닛(206)은 하나 또는 그 이상의 프로세서를 포함할 수 있으며, 하나 또는 그 이상의 이종 프로세서 시스템을 이용하여 구현될 수도 있다. 그래픽 프로세서(210)는 예컨대 가속 그래픽 포트(AGP)를 통해 MCH에 연결될 수 있다.
도시된 예에서 근거리 통신망(LAN) 어댑터(212)는 사우스 브리지 및 I/O 컨트롤러 허브(204)에 연결되며, 오디오 어댑터(216), 키보드 및 마우스 어댑터(220), 모뎀(222), 읽기 전용 메모리(ROM)(224), 범용 시리얼 버스(USB) 포트 및 기타 다른 통신 포트(232), 및 PCI/PCIe 디바이스(234)는 버스(238)를 통해 사우스 브리지 및 I/O 컨트롤러 허브(204)에 연결되며, 하드 디스크 드라이브(HDD)(226) 및 CD-ROM 드라이브(230)는 버스(240)를 통해 사우스 브리지 및 I/O 컨트롤러 허브(204)에 연결된다. PCI/PCIe 디바이스는 예컨대 이더넷(Ethernet) 어댑터, 애드 인(add-in) 카드, 및 노트북 컴퓨터용 PC 카드를 포함할 수 있다. PCI는 카드 버스 컨트롤러를 사용하지만 PCIe는 이를 사용하지 않는다. ROM(224)은 예컨대 플래시 바이너리 입/출력 시스템(BIOS)일 수 있다. 하드 디스크 드라이브(226) 및 CD-ROM 드라이브(230)는 예컨대 IDE(integrated drive electronics)나 SATA(serial advanced technology attachment) 인터페이스를 이용할 수 있다. 수퍼 I/O(SIO) 디바이스(236)는 사우스 브리지 및 I/O 컨트롤러 허브(204)에 연결될 수 있다.
운영 체제는 처리 유닛(206)에서 실행되어 도 2의 데이터 처리 시스템(200) 내의 각종 컴포넌트의 제어를 조정하고 제공한다. 운영 체제는 Microsoft®Windows®XP(Microsoft와 Windows는 미국을 비롯한 여타 국가에서 등록된 마이크로소프트사의 상표임)와 같은 상업적으로 입수가능한 운영 체제일 수 있다. Java™ 프로그래밍 시스템과 같은 객체 지향 프로그래밍 시스템은 운영 체제와 함께 실행될 수 있으며 데이터 처리 시스템(200) 상에서 실행되는 자바 프로그램이나 애플리케이션으로부터 운영 체제에 호를 제공한다. 자바와 모든 자바 관련 상표는 미국을 비롯한 여타 국가에 등록된 선마이크로시스템즈사의 상표이다.
운영 체제, 객체 지향 프로그래밍 시스템 및 애플리케이션이나 프로그램에 대한 명령은 하드 디스크 드라이브(226)와 같은 저장 장치에 위치하며 처리 유닛(206)에 의한 처리를 위해 메인 메모리(208)로 로드될 수 있다. 예시적인 실시예의 프로세스는 예컨대 메인 메모리(208)나 읽기 전용 메모리(224)와 같은 메모리나 하나 또는 그 이상의 주변 장치에 위치할 수 있는 컴퓨터 구현 명령을 이용하여 처리 유닛(206)에 의해 수행될 수 있다.
도 1과 2의 하드웨어는 구현에 따라 달라질 수 있다. 플래시 메모리, 등가적인 불휘발성 메모리 또는 광디스크 드라이브 등과 같은 다른 내부 하드웨어나 주변 장치는 도 1과 2에 도시된 하드웨어에 부가하여 또는 그 대신에 사용될 수 있다. 또한 예시적인 실시예의 프로세스는 멀티프로세서 데이터 처리 시스템에 적용될 수 있다.
몇 가지 실례에서 데이터 처리 시스템(200)은 일반적으로 운영 체제 파일 및/또는 사용자 생성 데이터를 저장하기 위한 불휘발성 메모리를 제공하는 플래시 메모리가 구성된 개인 휴대 정보 단말(PDA)일 수 있다. 버스 시스템은 시스템 버스, I/O 버스 및 PCI 버스와 같이 하나 또는 그 이상의 버스로 구성될 수 있다. 물론 버스 시스템은 임의 형태의 통신 조직이나 구조에 부착된 여러 가지 컴포넌트들이나 디바이스들 간의 데이터 전송을 제공하는 임의 형태의 통신 조직이나 구조를 이용하여 구현될 수 있다. 통신 유닛은 모뎀이나 네트워크 어댑터와 같은 데이터를 송수신하는데 사용되는 하나 또는 그 이상의 디바이스를 포함할 수 있다. 메모리는 예컨대 메인 메모리(208)나 또는 노스 브리지 및 메모리 컨트롤러 허브(202) 내에 있는 것과 같은 캐시일 수 있다. 처리 유닛은 하나 또는 그 이상의 프로세서나 CPU를 포함할 수 있다. 도 1과 2에서 도시된 예와 전술한 예는 구조적 한정을 암시하려는 것이 아니다. 예컨대 데이터 처리 시스템(200)은 PDA 형태를 취하는 것 이외에도 테블릿 컴퓨터, 랩톱 컴퓨터, 또는 전화기 장치일 수 있다.
전송 제어 프로토콜/인터넷 프로토콜(TCP/IP)은 도 1의 네트워크(102)와 같은 네트워크 상의 컴퓨팅 장치들을 연결하는데 이용되는 통신 프로토콜 스위트이다. 전송 제어 프로토콜 및 인터넷 프로토콜은 인터넷과 같은 네트워크 상에서 데이터를 전송하는 표준 프로토콜이다.
이제 도 3을 참조로 설명하면, 예시적인 실시예에 따른 개방형 시스템간 상호 접속(OSI) 기본 참조 모델의 블록도가 도시되어 있다. 개방형 시스템간 상호 접속 참조 모델(300)은 네트워크 장치들 간의 상호 운용성과 통신을 정의하는 표준 프로토콜 계층의 일반적 모델이다. 이 예에서 개방형 시스템간 상호 접속 참조 모 델(300)은 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP) 스위트를 포함한다.
TCP/IP 및 이와 유사한 프로토콜은 개방형 시스템간 상호 접속 통신 구조에 의해 활용된다. 이 예에서 이 구조는 애플리케이션 계층(302), 표현 계층(304), 세션 계층(306), 전송 계층(308), 네트워크 계층(310), 데이터링크 계층(3120 및 물리 계층(314)을 포함한다. 각 계층은 여러 가지 기능 및/또는 통신 업무 처리를 담당한다.
애플리케이션 계층(302)은 접근 및/또는 실행되고 있는 특정 애플리케이션의 세부 사항을 처리한다. 많은 공통의 TCP/IP 애플리케이션은 원격 로그인을 위한 텔넷; 파일 전송 프로토콜(FTP); 전자 메일을 위한 단순 메일 전송 프로토콜(SMTP); 및 단순 네트워크 관리 프로토콜(SNMP)을 포함하여 거의 모든 구현에 존재한다.
애플리케이션 계층(302)에 의해 처리되는 애플리케이션 소프트웨어는 사용자가 추구하는 원하는 기능을 제공하기 위해 통신 포트를 통해 데이터에 반응하도록 설계된 임의 수의 소프트웨어 애플리케이션을 포함할 수 있다. 이 레벨에서의 애플리케이션은 인터넷 사용자가 접근할 수 있는 데이터, 비디오, 그래픽, 사진, 및/또는 텍스트를 처리하는데 필요한 것들을 포함할 수 있다.
표현 계층(304)은 표현 프로토콜과 표현 서비스를 포함한다. 표현 서비스는 사용될 전송 신택스에 대한 동의를 확인하는데 사용된다. 표현 프로토콜은 사용자가 표현 서비스와 통신할 수 있도록 한다.
세션 계층(306)은 세션 프로토콜과 세션 서비스로 구성된다. 세션 서비스는 사용자에게 세션 서비스 사용자들 간의 접속 설정, 사용자들 간의 접속 종료, 세션 계층 토컨의 사용에 대한 협상 수행, 및 에러나 차단이 일어나는 경우에 세션이 재생될 수 있도록 전송된 데이터 내의 포인트들의 동기화를 포함하는(이에 한정되지 않음) 서비스를 제공한다. 이 세션 프로토콜에 의해 사용자는 세션 서비스와 통신할 수 있다.
다음, 전송 계층(308)은 2개의 호스트 컴퓨터 간의 데이터 전송을 이용하게 하는, 네트워크 계층(310)과 애플리케이션 계층(302) 간의 인터페이스를 제공한다. 전송 계층(308)은 애플리케이션으로부터 이에 보내진 데이터를 아래의 네트워크 계층을 위해 적당한 크기의 덩어리(chunk)로 분할하는 것, 수신된 패킷을 확인하는 것, 그리고 보내진 다른 종료 확인 패킷을 확인하는 타임아웃을 설정하는 것과 같은(이에 한정되지 않음) 일과 관련된다. TCP/IP 프로토콜 스위트에서 2개의 구별되는 서로 다른 전송 프로토콜인 전송 제어 프로토콜(TCP)과 사용자 데이터그램 프로토콜(UDP)이 존재한다.
전송 제어 프로토콜은 데이터가 2개의 호스트 간에 잘 전송되도록 보장하기 위하여 드룹아웃 검출 및 전송 서비스를 포함하는 신뢰성 서비스를 제공한다. 반대로 사용자 데이터그램 프로토콜은 한 호스트에서 다른 호스트로 데이터그램으로 불리는 비교적 간단한 데이터 패킷을 단순히 전송함으로써 애플리케이션 계층(302)에 훨씬 단순한 서비스를 제공한다. 데이터그램은 데이터그램 내의 데이터가 잘 전송되는 것을 보증하는 메카니즘을 제공함이 없이 전송된다. 사용자 데이터그램 프로토콜 사용 시에 애플리케이션 계층(302)은 신뢰성 기능을 수행해야 한다. 전 송 계층 데이터 패킷 정보의 일례로는 발생지 호스트에 대한 포트 번호 및/또는 목적지 호스트에 대한 포트 번호를 들 수 있으나 이에 한정되는 것은 아니다.
인터넷 계층이라고도 하는 네트워크 계층(31)은 네트워크를 중심으로한 데이터 패킷의 이동을 처리한다. 예컨대 네트워크 계층(310)은 네트워크를 통해 전송되는 각종 데이터 패킷의 라우팅을 처리한다. TCP/IP 스위트에서의 네트워크 계층(310)은 인터넷 프로토콜(IP), 인터넷 제어 메시지 프로토콜(ICMP), 및 인터넷 그룹 관리 프로토콜(IGMP)을 포함하여 몇 가지 프로토콜로 구성된다. 인터넷 프로토콜(IP)은 인터넷 프로토콜 버젼 4(IPv4), 인터넷 프로토콜 버젼 6(IPv6), 또는 기타 다른 공지 또는 가용 인터넷 프로토콜 버젼을 포함할 수 있으나 이에 한정되는 것은 아니다. 네트워크 계층 데이터 패킷 정보의 일례로는 발생지 호스트 IP 어드레스 및/또는 목적지 호스트 IP 어드레스를 식별하는 인터넷 프로토콜(IP) 어드레스를 들 수 있으나 이에 한정되는 것은 아니다.
데이터링크 계층(312)은 링크 계층 또는 네트워크 인터페이스 계층이라고도 할 수 있는데 통상적으로 운영 체제에서의 장치 드라이버와 컴퓨터에서의 해당 네트워크 인터페이스 카드를 포함한다. 데이터링크(312)는 통상적으로 이더넷 네트워크 인터페이스 카드 및/또는 무선 인터넷 어댑터와 같이(이에 한정되지 않음) 물리 계층(314)과 물리적으로 인터페이싱하는 모든 하드웨어 세부를 처리한다. 데이터링크 계층 데이터 패킷 정보의 일례로는 미디어 액세스 제어(MAC) 어드레스를 들 수 있으나 이에 한정되는 것은 아니다.
물리 계층(314)은 광케이블이나 이더넷 케이블과 같이 사용되고 있는 네트워 크 매체를 말한다. 즉 물리 계층(314)은 도 1의 클라이언트(110)와 같은 컴퓨팅 장치를 도 1의 네트워크(102)와 같은 네트워크에 연결시키는 물리적 네트워크 케이블이다.
예시적인 실시예의 메카니즘은 전송 계층(308) 및/또는 네트워크 계층(310)과 같은 계층에서 더 구체적으로 구현될 수 있다.
도 4는 현재 사용되는 포트 스캔 방지 기구를 도시한 블록도이다. 네트워크 데이터 처리 시스템(400)은 도 1의 네트워크 데이터 처리 시스템(100)과 같이, 네트워크에 연결된 2 또는 그 이상의 컴퓨팅 장치를 포함하는 데이터 처리 시스템이다. 이 예에서 네트워크는 인터넷이다. 그러나 네트워크는 근거리 통신망, 광대역 통신망, 이더넷, 또는 임의 형태의 네트워크도 포함할 수 있다. 네트워크 데이터 처리 시스템(400)은 악의적 호스트(402)와 피해자(404)를 포함한다.
악의적 호스트(402)는 도 1의 클라이언트(110)와 같은 컴퓨팅 장치 상에서 피해자(404)의 포트 스캔을 수행하는 해커 또는 기타 다른 무인가 사용자이다. 즉 악의적 호스트(402)는 피해자(404)의 취약한 열린 접근 포인트의 위치를 찾아 그 열린 포트를 통해 피해자(404)에 권한없이 접근하거나 그리고/또는 그 피해자(404)에 대해 공격을 개시하려고 시도하고 있다. 악의적 호스트(402)는 피해자(404)에 대한 공격을 개시하는데 이용할 취약한 열린 접근 포인트의 위치를 찾기 위해 피해자(404)의 포트 스캔을 수행하고 있다.
피해자(404)는 하나 또는 그 이상의 애플리케이션 및/또는 서비스를 호스팅하는 컴퓨팅 장치이다. 악의적 호스트(402)는 도 1의 네트워크(102)와 같은 네트 워크에 접속된다. 클라이언트 컴퓨팅 장치는 주어진 애플리케이션 또는 서비스와 연관된 포트에의 접속을 네트워크 접속부를 통해 요구함으로써 피해자(404) 상에서 이용될 수 있는 애플리케이션 및/또는 서비스에 접근할 수 있다.
피해자(404)는 포트 스캔 방지 기구(405)를 포함한다. 포트 스캔 방지 기구(405)는 포트 스캔을 검출하여 악의적 호스트(402)의 발생지 IP 어드레스를 차단하기 위한 현재 이용될 수 있는 포트 스캔 방지 소프트웨어이다. 포트 스캔 방지 기구(405)가 작동하는 일반적인 방법은 피해자(404)가 사용하고 있지 않은 닫힌 포트 세트를 모니터링하는 것이지만 이 방법은 그 포트와 연관된 애플리케이션과 연관된 취약성 때문에 해커에 의해 악의적으로 이용될 수 있다. 포트 스캔 방지 기구(405)는 합법적인 사용자라면 피해자(404)가 닫힌 포트 세트와 연관된 애플리케이션이나 서비스를 제공하지 않을 것임을 알고 있기 때문에 합법적 사용자가 그 닫힌 포트 세트 중의 포트에 접근하려고 시도하지 않을 것이라고 가정한다. 악의적 호스트(402)와 같은 악의적 호스트만이 그 포트 상에서 듣고 있는 취약한 서비스를 찾고 있으므로 그 닫힌 포트 세트 중의 포트에의 접근을 시도할 것이다.
포트 스캔 방지 기구(405)가 특정 원격 호스트로부터 들어오는 동기화(SYN) 데이터 패킷이나 이들 데이터 패킷의 패턴과 같이 닫힌 포트 세트 중의 포트에의 접속을 요구하는 데이터 패킷을 검출하면, 포트 스캔 방지 기구(405)는 그 특정 원격 호스트로부터의 모든 트래픽을 배척 또는 차단할 것이다. 이런 식으로 그 원격 호스트가 취약한 열린 포트를 알아내더라도 그 원격 호스트는 그 원격 호스트로부터의 모든 장래의 네트워크 트래픽이 차단되므로 공격을 개시할 수 없을 것이다.
이 예에서 악의적 호스트(402)는 피해자(404) 상의 하나 또는 그 이상의 주지 포트에의 접속을 요구하는 일련의 데이터 패킷을 피해자(404)에게 보냄으로써 포트 스캔을 수행한다. 데이터 패킷(406)은 악의적 호스트(404)가 보낸 일련의 데이터 패킷들 중 하나이다.
데이터 패킷(406)은 피해자(404) 상의 포트 "n"으로 인식된 포트에의 접속 요구를 포함하는 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP) 데이터 패킷이다. 이 예에서 데이터 패킷(406)은 포트 "n"에의 접속을 요구하는 전송 제어 프로토콜 동기화(TCP SYN) 메시지이다. 포트 "n"은 하이퍼텍스트 전송 프로토콜 트래픽과 연관된 포트 80과 같은 임의의 포트 번호일 수 있다.
이 예에서 데이터 패킷(406)은 위조 또는 허위 발생지 IP 어드레스를 포함한다. 발생지 IP 어드레스는 데이터 패킷의 송신자를 식별하는 IP 어드레스이다. 위조 발생지 IP 어드레스는 데이터 패킷(406)의 실제 송신자가 아닌 부수적(incidental) 피해자(408)를 식별하는 IP 어드레스이다. 부수적 피해자(408)는 실제 컴퓨팅 장치이거나 실제로는 존재하지 않을 수 있다. 즉 악의적 호스트(402)가 사용한 위조 IP 어드레스는 실제 컴퓨팅 장치를 식별하지 못한다. 이 예에서 데이터 패킷(406)은 악의적 호스트(402)의 실제 IP 어드레스인 IP 어드레스 "B"가 아닌 부수적 피해자(408)와 연관된 발생지 IP 어드레스 "A"를 포함한다.
데이터 패킷(406)의 수신에 응답하여 피해자(404)는 부수적 피해자(408)에 데이터 패킷(410)을 보낸다. 데이터 패킷(410)은 포트 "x"가 열린 포트인지 아니면 닫힌 포트인지 여부를 나타내는 전송 제어 프로토콜/인터넷 프로토콜 데이터 패 킷이다. 이 예에서 데이터 패킷(410)은 동기화 확인(SYN/ACK) 메시지이다. 데이터 패킷(410)은 부수적 피해자(408)와 연관된 목적지 IP 어드레스 "A"로 보내지고 있다. 그러므로 악의적 호스트(402)는 피해자(404)로부터 부수적 피해자(408)로의 통상적인 메시지 전송 과정에서는 데이터 패킷(410)을 수신하지 않을 것이다.
악의적 호스트(402)는 데이터 패킷(410)의 의도된 수신자가 아니므로, 악의적 호스트(402)는 네트워크로부터의 데이터 패킷(410)을 스누프(snoop)(412)한다. 스누핑은 다른 목적지 컴퓨팅 장치로 보내기로 되어있는 데이터 패킷을 포착하거나 본다는 것을 말한다. 이 예에서 악의적 호스트(402)는 패킷 스나이퍼(sniffer)를 이용하여 부수적 피해자(408)가 수신하기로 된 데이터 패킷(410)을 스누프한다. 패킷 스나이퍼는 악의적 호스트가 데이터 패킷의 의도된 수신자가 아니라는 사실에도 불구하고 네트워크를 통해 전송된 데이터 패킷을 포착하는 애플리케이션이다.
따라서 악의적 호스트(402)는 포트 "x"가 공격에 취약할 수 있는 열린 포트인지 여부를 알게 된다. 포트 "x"가 열린 포트라면 악의적 호스트(402)는 피해자(404)에 대해 공격(414)을 개시한다.
피해자(404)는 현재 포트 스캔 방지 소프트웨어를 갖고 있다. 이 현재 포트 스캔 방지 소프트웨어에 의해 피해자(404)는 데이터 패킷(406)이 악의적 호스트(402)와 같은 해커로부터의 가능한 포트 스캔임을 인식할 수가 있다. 현재 포트 스캔 방지 소프트웨어에 의해 피해자(404)는 데이터 패킷(406)과 같은 수상한 포트 스캔에서 식별된 발생지 IP 어드레스로부터의 후속 메시지를 차단할 수가 있다. 그러나 데이터 패킷(406) 내의 발생지 IP 어드레스는 위조 IP 어드레스이므로 피해 자(404)는 공격(414)과 연관된 악의적 호스트(402)로부터의 메시지와 같은 악의적 호스트(402)로부터의 메시지를 차단하지 않을 것이다. 이런 식으로 악의적 호스트(402)는 현재 포트 스캔 방지 소프트웨어를 우회하여 피해자(404)를 공격하여 이를 불능으로 만들거나 손상시킬 수가 있을 것이다.
따라서 이 예에서 악의적 호스트(402)는 데이터 패킷(406)과 같은 TCP SYN 패킷을 피해자(404)의 주어진 포트에 보냄으로써 취약한 포트에 접속하려고 하고 있는 포트 스캐너이다. 악의적 호스트(402)가 발생시킨 데이터 패킷(406)은 존재할 수도 안 할 수도 있는 부수적 피해자에 대한 위조 발생지 IP 어드레스를 포함한다. 주어진 포트에서 듣는 프로그램이나 애플리케이션이 있다면 피해자(404)는 TCP SYN/ACK 패킷을 부수적 피해자에 보냄으로써 응답한다.
악의적 호스트(402)는 네트워크를 모니터하여 데이터 패킷(410)이 지나가는 것을 본다. 악의적 호스트(402)는 주어진 포트가 이 주어진 포트와 연관된 애플리케이션에서 기존의 취약성을 이용하기 위해 접속될 수 있는 열린 포트라고 판단한다. 악의적 호스트(402)는 각 포트에 할당된 주지 포트 번호에 기초하여 주어진 포트와 연관된 애플리케이션이 어느 것인지를 판단할 수 있다.
피해자(404)의 포트 스캔 방지 기구(405)는 부수적 피해자(408)에 대한 위조 발생지 IP 어드레스 "A"를 차단함으로써 그 위조 패킷에 응답한다. 악의적 호스트(402)는 이 특정 포트와 이 특정 포트와 연관된 취약한 애플리케이션 프로그램에 대해 적당한 해킹 도구를 이용하여 피해자(404)의 주어진 포트에 공격을 마음대로 보낸다.
예시된 실시예는 현재 포트 스캔 방지 소프트웨어가 포트 스캔 중에 해커로부터 수신된 위조 발생지 IP 어드레스를 이용하는 위조 데이터 패킷에 응답할 때에 그 포트 스캔 방지 소프트웨어가 진짜 악의적 호스트에 대한 실제 IP 어드레스가 아닌 부수적 피해자에 대한 위조 발생지 IP 어드레스를 차단함으로써 응답하는 것을 인식한다. 현재 포트 스캔 방지 소프트웨어는 악의적 호스트가 위조 발생지 IP 어드레스를 제공하는 경우에는 진짜 발생지 IP 어드레스를 식별하여 이를 차단할 수 없다. 그러므로 예시된 실시예는 실제로 공격을 개시하고 있는 호스트 IP 어드레스를 포트 스캔이 탐지된 후에 가능한 빨리 봉쇄할 개량된 포트 스캔 방지 소프트웨어의 필요성을 인식한다.
이에 따라서 예시된 실시예는 포트 스캔 방지를 위한 컴퓨터 구현 방법, 장치 및 컴퓨터 사용 프로그램 코드를 제공한다. 일 실시예에서 프로세스는 포트 스캔 탐지에 응답하여 변형된 응답 데이터 패킷을 구성하기 위하여 데이터 패킷을 전송하는데 이용된 프로토콜에 대한 변형된 헤더를 가진 응답 데이터 패킷을 생성한다.
아래에 설명된 예시적인 실시예에서 데이터 패킷을 전송하는데 이용된 프로토콜에 대한 변형된 헤더는 변형된 전송 제어 프로토콜 헤더이다. 그러나 예시된 실시예는 전송 제어 프로토콜에서의 헤더를 변형시키는 것에 한정되지 않는다. 예시된 실시예는 전송 제어 프로토콜이나 사용자 데이터그램 프로토콜(UDP)를 포함하는(이에 한정되지 않음), 변형된 응답 데이터 패킷을 구성하기 위해 네트워크 접속부를 통해 데이터 패킷을 전송하는데 이용된 임의 형태의 공지 또는 가용 프로토콜 에서의 헤더를 변형시킬 수 있다.
변형된 응답 데이터 패킷은 변형된 데이터 패킷의 수신자로부터의 응답을 이끌어낼 것이다. 이 프로세스는 이 응답 데이터 패킷을 포트 스캔과 연관된 제1 라우팅 어드레스에 전송한다. 프로세스는 변형된 응답 데이터 패킷에 대한 응답 수신에 응답하여 응답 데이터 패킷의 헤더에 있는 제2 라우팅 어드레스를 식별한다. 아래에 설명되는 예에서 제1 라우팅 어드레스는 제1 인터넷 프로토콜 어드레스이고 제2 라우팅 어드레스는 제2 인터넷 프로토콜 어드레스이다. 인터넷 프로토콜은 인터넷 프로토콜 버젼 4(IPv4), 인터넷 프로토콜 버젼 6(IPv6), 또는 기타 다른 인터넷 프로토콜 버젼을 포함한(이에 한정되지 않음) 임의의 인터넷 프로토콜일 수 있다. 하나 또는 그 이상의 포트에 라우팅 어드레스를 제공하는 임의 형태의 공지 또는 가용 프로토콜이 예시된 실시예에 따라서 이용될 수 있다.
제2 라우팅 어드레스는 포트 스캔의 발생지의 실제 라우팅 어드레스이다. 그러면 제2 라우팅 어드레스로부터의 모든 네트워크 트래픽은 차단되어 임의의 열린 포트에 대한 공격을 방지할 수 있다.
이제 도 5를 참조로 설명하면, 예시적인 실시예에 따라 위조 발생지 IP 어드레스를 가진 포트 스캔을 탐지하는 포트 스캔 방지 시스템을 통한 흐름을 보여주는 블록도가 도시되어 있다. 컴퓨터(500)는 도 1의 서버(106)나 클라이언트(110)를 포함한(이에 한정되지 않음) 임의 형태의 컴퓨팅 장치를 이용하여 구현될 수 있다.
컴퓨터(500)는 애플리케이션 세트(502)를 포함한다. 애플리케이션 세트(502)는 컴퓨터(500) 상에 이용될 수 있는 하나 또는 그 이상의 애플리케이션 및 /또는 서비스 세트이다. 애플리케이션은 컴퓨팅 장치의 자원을 이용하여 사용자를 위한 업무나 서비스를 수행하는 컴퓨터 소프트웨어이다.
애플리케이션 세트(502)는 데이터 저장 장치(504)와 같은 데이터 저장 장치에 저장될 수 있다. 데이터 저장 장치(504)는 메인 메모리, 데이터베이스, 일기 전용 메모리(ROM), 임의 접근 메모리(RAM), 불휘발성 임의 접근 메모리(NV-RAM), 하드 디스크, 플래시 메모리, 플로피 디스크, 컴팩 디스크 리라이터블(CD-RW), 또는 기타 다른 형태의 데이터 저장 장치를 포함하는(이에 한정되지 않음) 임의 형태의 공지 또는 가용 데이터 저장 장치이다. 이 예에서 데이터 저장 장치(504)는 컴퓨터(500) 상에 로컬 방식으로 위치한다. 그러나 데이터 저장 장치(504)는 컴퓨터(500)에 대해 원격적으로 위치될 수도 있다.
컴퓨터(500)는 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP)(506)을 이용하여 도 1의 네트워크(102)와 같은 네트워크에 연결된 다른 컴퓨팅 장치에 메시지를 전송하거나 이로부터 메시지를 수신한다. TCP/IP(506)는 송신자와 수신자 간의 접속을 제공하는 표준 프로토콜 스위트이다. TCP/IP(506)는 보증된 전송을 제공하며 패킷이 올바른 시퀀스로 수신되는 것을 보장할 수 있다. 즉, 다른 컴퓨팅 장치로부터 컴퓨터(500)로 메시지가 전송될 때에 이 메시지는 순서적으로 수신되지 못할 수 있다. 그러므로 TCP/IP(506)는 메시지가 올바른 순서로 애플리케이션 계층에 전달되는 것을 보장하기 위하여 전송 제어 프로토콜(TCP) 시퀀스 번호를 이용한다.
TCP/IP(506)는 메시지 수신측이 메시지의 올바른 순서를 결정할 수 있도록 TCP/IP(506)에 의해 전송된 모든 메시지에 시퀀스 번호를 부여한다. 컴퓨터(500) 와 제2 컴퓨팅 장치 간에 접속이 설정되면 컴퓨터(500)와 제2 컴퓨팅 장치 간에 초기 시퀀스 번호(ISN)가 교환된다. TCP/IP(506)는, 무순서 번호가 특정 한계나 제한 내에 있는 경우 그 무순서 시퀀스 번호를 가진 메시지를 수신하는 것을 가능하게 한다. 그러나 시퀀스 번호가 시퀀스 번호의 예상 범위에서 너무 벗어나면 그 메시지는 폐기되거나 불량 메시지로 인식될 것이다. 그와 같은 경우에 컴퓨터(500)는 제2 컴퓨터에게 그 불량 시퀀스 번호를 가진 메시지를 재전송하라고 요구할 수 있다.
TCP/IP(506)는 포트(508)와 포트(510)를 포함한다. 이 예에서 컴퓨터(500)는 2개의 포트를 가진 것으로 도시되어 있다. 그러나 컴퓨터(500)는 임의 수의 포트를 가질 수 있다.
포트(508)는 할당된 포트 번호를 갖고 있으며 애플리케이션 세트(502)와 연관된다. 예컨대 포트(508)가 하이퍼텍스트 전송 프로토콜 트래픽을 처리하는 애플리케이션과 연관되는 경우에는 그 포트(508)는 포트 번호 80에 할당될 것이다. 이 예에서 포트(508)는 열린 포트이다.
포트(510)에도 포트 번호가 할당된다. 이 예에서 포트(510)에는 파일 전송 프로토콜(FTP)을 위한 포트 번호 20이 할당된다. 그러나 이 예에서 파일 전송 프로토콜은 컴퓨터(500) 상에서 이용될 수 없다. 그러므로 포트(510)는 닫힌 포트이다.
컴퓨터(500)는 개량형 포트 스캔 방지 기구(512)도 포함한다. 개량형 포트 스캔 방지 기구(512)는 포트 스캔을 탐지하여, 악의적 호스트(516)와 같은 그 포트 스캔을 수행하는 악의적 호스트나 기타 다른 컴퓨팅 장치와 연관된 IP 어드레스를 차단하는 포트 스캔 방지 소프트웨어이다.
악의적 호스트(516)는 포트(508, 510)와 같은, 컴퓨터(500)와 연관된 하나 또는 그 이상의 포트에서 포트 스캔을 수행하는 해커, 크랙커, 무인가 사용자 또는 불법적 사용자이다. 악의적 호스트(516)는 네트워크를 통해 데이터 패킷을 송수신하는 프로토콜의 TCP/IP(518) 스위트를 포함한다. 악의적 호스트(516)는 이 네트워크 접속을 통해 컴퓨터(500)에 연결된다.
악의적 호스트(516)는 포트 스캐너(520)를 포함한다. 포트 스캐너(520)는 컴퓨터(500) 상에서 하나 또는 그 이상의 포트 세트의 포트 스캔을 수행하는 임의 형태의 공지 또는 가용 장치일 수 있다. 포트 스캐너(520)는 소프트웨어로만 또는 하드웨어와 소프트웨어의 조합으로 구현될 수 있다. 이 예에서 포트 스캐너(520)는 포트 스캔 데이터 패킷(522)을 발생한다. 포트 스캔 데이터 패킷(522)은 위조 발생지 IP 어드레스(524)를 포함한다. 위조 발생지 IP 어드레스(524)는 악의적 호스트(516)와 연관된 IP 어드레스가 아니다. 위조 발생지 IP 어드레스(524)는 악의적 호스트(516)가 아닌 실제 컴퓨팅 장치를 위한 IP 어드레스일 수 있으며, 또는 위조 발생지 IP 어드레스(524)는 실제로 존재하지 않는 컴퓨팅 장치를 위한 IP 어드레스일 수 있다.
개량형 포트 스캔 방지 기구(512)는 발생지 IP 어드레스 탐지기(514)를 포함한다. 발생지 IP 어드레스 탐지기(514)는 응답 데이터 패킷(526)을 발생하는 소프트웨어 성분이다. 응답 데이터 패킷(526)은 악의적 호스트(516) 상의 TCP/IP(518) 가 강제로 응답(528)을 발생하도록 변형된 데이터 패킷이다. 즉 개량형 포트 스캔 방지 기구(512)가 포트 스캔을 탐지하면, 포트 스캔 방지 기구(512)는 악의적 호스트(516)에게 응답(528)을 보내게 할 응답 데이터 패킷(526)을 악의적 호스트(516)에게 보냄으로써 응답한다. 응답(528)은 응답(528)의 전송 제어 프로토콜 헤더에 리셋(RST) 플래그 또는 피니시 확인(FIN/ACK) 플래그를 포함할 수 있다. 이 예에서 응답(528)은 응답(528)의 전송 제어 프로토콜 헤더의 네트워크 계층에 악의적 호스트의 실제 IP 어드레스(530)도 포함한다.
컴퓨터(500)는 응답(528)으로부터 악의적 호스트의 실제 IP 어드레스(530)를 식별할 수 있다. 그러면 개량형 포트 스캔 방지 기구(512)는 악의적 호스트(516)의 실제 IP 어드레스(530)를 봉쇄 또는 차단하여 악의적 호스트(516)에 의해 장래의 공격을 방지한다.
다음, 도 6은 예시적인 실시예에 따른 포트 스캔 방지 기구를 도시한 블록도이다. 네트워크 데이터 처리 시스템(600)은 도 1의 네트워크 데이터 처리 시스템(100)과 같이 네트워크를 통해 접속된 복수의 컴퓨팅 장치를 포함하는 데이터 처리 시스템이다. 이 예에서 네트워크는 인터넷이다. 그러나 네트워크는 근거리 통신망, 광대역 통신망, 이더넷 또는 기타 다른 임의 형태의 네트워크도 포함할 수 있다. 네트워크 데이터 처리 시스템(600)은 악의적 호스트(602)와 피해자(604)를 포함한다.
악의적 호스트(602)는 도 1의 클라이언트(110)나 도 5의 악의적 호스트(516)와 같이 컴퓨팅 장치 상의 해커 또는 무인가 사용자이다. 악의적 호스트(602)는 열린 포트를 통해 피해자(604)에 무단으로 접근하고 그리고/또는 피해자(604)에 대한 공격을 개시하기 위하여 취약한 열린 액세스 포인트의 위치를 찾아내려고 피해자(604)에 대해 무인가 포트 스캔을 수행하고 있다.
피해자(604)는 도 1의 서버(106)나 도 5의 컴퓨터(500)와 같이 하나 또는 그 이상의 애플리케이션 및/또는 서비스를 호스팅하는 컴퓨팅 장치이다. 클라이언트 컴퓨팅 장치는 네트워크 접속을 통해 주어진 애플리케이션 또는 서비스와 연관된 포트에의 접속을 요구함으로써 피해자(604) 상에서 이용될 수 있는 애플리케이션 및/또는 서비스에 접근할 수 있다.
피해자(604)는 도 5의 개량형 포트 스캔 방지 기구(512)와 같이 발생지 IP 어드레스 탐지 소프트웨어를 포함하는 개량형 포트 스캔 방지 기구(605)를 포함한다. 개량형 포트 스캔 방지 기구(605)는 악의적 호스트(602)가 위조 발생지 IP 어드레스를 이용하여 데이터 패킷(606)을 보냄으로써 포트 스캔을 개시할 때에 악의적 호스트(602)의 IP 어드레스를 식별하고, 그 악의적 호스트(602)가 사용한 위조 발생지 IP 어드레스를 차단하는 것이 아니라 악의적 호스트(602)의 IP 어드레스를 차단하는데 이용되는 소프트웨어이다.
악의적 호스트(602)는 피해자(604) 상의 하나 또는 그 이상의 주지 포트에 접속을 요구하는 일련의 데이터 패킷을 피해자(604)에게 보냄으로써 포트 스캔을 수행한다. 데이터 패킷(606)은 도 5의 포트 스캔 데이터 패킷(522)과 같이 악의적 호스트(602)가 피해자(604) 상의 포트에 보낸 일련의 데이터 패킷 중 하나이다.
데이터 패킷(606)은 피해자(604) 상의 포트 "n"으로 인식된 포트에의 접속을 요구하는 전송 제어 프로토콜/인터넷 프로토콜 데이터 패킷이다. 이 예에서 데이터 패킷(606)은 전송 제어 프로토콜 동기화(TCP SYN) 데이터 패킷이다. 포트 "n"은 하이퍼텍스트 전송 프로토콜 트래픽과 연관된 포트 80과 같은 임의의 포트 번호일 수 있다.
데이터 패킷(606)은 부수적 피해자에 대한 위조 또는 허위 발생지 IP 어드레스를 포함한다. 부수적 피해자는 실제로 존재할 수도 하지 않을 수도 있다. 이 예에서 데이터 패킷(606)은 악의적 호스트(602)의 실제 IP 어드레스인 IP 어드레스 "B"가 아니라 부수적 피해자와 연관된 발생지 IP 어드레스 "A"를 포함한다.
데이터 패킷(606)의 수신에 응답하여 개량형 포트 스캔 방지 기구(605)는 데이터 패킷(608)을 발생한다. 데이터 패킷(608)은 도 5의 응답 데이터 패킷(526)과 같은 응답 데이터 패킷이다. 만약 악의적 호스트(602)가 네트워크 밖에서부터 데이터 패킷(608)을 스누프하는 경우에 데이터 패킷(608)은 악의적 호스트(602)로부터의 응답을 이끌어내도록 작성된다. 데이터 패킷(608)의 전송 제어 프로토콜(TCP) 헤더의 헤더는 악의적 호스트(602)가 네트워크로부터 데이터 패킷(608)을 스누프하는 경우에 악의적 호스트의 TCP/IP 계층을 속여 데이터 패킷(608)에 응답하게 하는 식으로 변경된다.
예컨대 개량형 포트 스캔 방지 기구(605)가 데이터 패킷(608)에 불량 시퀀스 번호를 부여한다면 악의적 호스트(602)의 TCP/IP 계층은 피해자(604)에의 접속을 시도하려고 동기화(SYN) 플래그를 보냄으로써 응답할 것이다. 불량 시퀀스 번호는 가능한 시퀀스 번호의 예상 또는 허용 범위 밖에 있는 시퀀스 번호이다.
피니시(FIN) 플래그는 세션의 종료를 표시한다. 피니시 플래그를 포함하는 데이터 패킷이 수신되면 TCP/IP는 이에 응답하여 피니시 확인을 자동으로 보낸다. 따라서 포트 스캔 방지 기구(605)가 데이터 패킷(608)에 피니시 플래그를 부여한다면 악의적 호스트(602)의 TCP/IP 계층은 응답 메시지 형태의 피니시 확인(FIN/ACK) 플래그를 피해자(604)에게 자동으로 보낼 것이다.
따라서 이 예에서 개량형 포트 스캔 방지 기구(605)는 위조 발생지 IP 어드레스와 연관된 부수적 피해자에게 데이터 패킷(608)을 보낸다. 데이터 패킷(608)은 포트 "n"이 열린 포트인지 아니면 닫힌 포트인지를 나타내는 전송 제어 프로토콜/인터넷 프로토콜이다. 이 예에서 데이터 패킷(608)은 동기화 확인(SYN/ACK) 플래그와 불량 시퀀스 번호를 포함한다. 피해자(604)는 부수적 피해자와 연관된 위조 IP 어드레스 "A"에 데이터 패킷(608)을 보낸다.
데이터 패킷(608)의 헤더 내의 데이터링크 계층은 데이터 패킷(608)의 목적지에 대한 미디어 액세스 제어(MAC) 어드레스를 나타낸다. 미디어 액세스 제어 어드레스는 목적지 컴퓨팅 장치의 특정 네트워크 어댑터를 특정한다. 이 경우에 미디어 액세스 제어 어드레스는 부수적 피해자의 네트워크 어댑터를 특정한다.
통상적으로, 악의적 호스트(6020가 스누프 모드에서 실행되고 있지 않았다면 악의적 호스트(602)는 데이터링크 계층 미디어 액세스 제어 어드레스가 악의적 호스트(602)와 연관된 네트워크 어댑터와 부합되지 않기 때문에 데이터 패킷(608)을 수신하지 않을 것이다. 그러나 이 예에서 악의적 호스트(602)는 스누프 모드에 있다. 그러므로 악의적 호스트(602)와 연관된 이더넷 드라이버는 데이터 패킷(608) 의 헤더 내의 미디어 액세스 제어 어드레스를 무시하고 데이터 패킷(608)을 악의적 호스트(602)와 연관된 TCP/IP 계층까지 통과시킬 것이다.
악의적 호스트(602)는 네트워크로부터 데이터 패킷(608)을 스누프한다. 이 예에서 악의적 호스트(602)는 패킷 트래픽을 이용하여 네트워크로부터 데이터 패킷(608)을 스누프한다. 데이터 패킷(608) 내의 불량 시퀀스 번호 탐지에 응답하여 악의적 호스트(602)의 TCP/IP 계층은 피해자(604)에 재접속하려고 데이터 패킷(610)에 대한 응답을 자동적으로 발생하여 이를 피해자(604)에 전송한다. 데이터 패킷(610)은 도 5의 응답(528)과 같은 응답 데이터 패킷이다.
데이터 패킷(610)은 위조 IP 어드레스 "A"가 아니라 악의적 호스트(602)의 실제 발생지 IP 어드레스 "B"를 포함한다. 개량형 포트 스캔 방지 기구(605)는 실제 발생지 IP 어드레스 "B"가 네트워크를 통해 추가 메시지를 피해자(604)에 보내는 것을 차단한다. 이런 식으로 악의적 호스트(602)는 피해자(604) 상의 취약한 포트에 대한 공격을 개시하는 것이 차단된다.
도 7은 예시적인 실시예에 따른 포트 스캔 중에 전송된 포트 스캔 패킷을 예시도이다. 포트 스캔 데이터 패킷(702)은 도 5의 포트 스캔 데이터 패킷(522) 및/또는 도 6의 데이터 패킷(606)과 같이 악의적 호스트가 발생한 허위 발생지 IP 어드레스를 가진 데이터 패킷이다. 이 예에서 포트 스캔 데이터 패킷은 동기화(SYN) 데이터 패킷이다.
응답 데이터 패킷(703)은 도 5의 응답 데이터 패킷(5260 및/또는 도 6의 데이터 패킷(608)과 같이 포트 스캔 데이터 패킷(702)의 수신측이 발생한 데이터 패 킷이다. 수신측은 악의적 호스트의 의도된 피해자이다. 응답 데이터 패킷(703)은 피해자에 의해 발생되어 허위 IP 어드레스로 보내진다. 이 예에서 응답 데이터 패킷은 도 6의 피해자(604)와 같이 악의적 호스트의 의도된 피해자가 발생한 동기화 확인(SYN/ACK) 데이터 패킷이다.
포트 스캔 데이터 패킷(702)은 섹션(704)에 데이터링크 계층에 대한 정보를 포함한다. 악의적 호스트로부터 의도된 피해자로의 포트 스캔 데이터 패킷의 전송 경로는 라우팅 테이블에 따라 이더넷(ETH) 미디어 액세스 제어(MAC) 어드레스를 할당할 것이다.
포트 스캔 데이터 패킷(702)은 네트워크 계층의 정보도 포함한다. 네트워크 계층 정보는 라인(705)에서 위조 발생지 IP 어드레스 "A"를 포함한다. 위조 발생지 IP 어드레스 "A"는 포트 스캔 데이터 패킷(702)을 발생했던 악의적 호스트의 실제 IP 어드레스가 아니라 존재하는 또는 존재하지 않는 부수적 피해자의 IP 어드레스이다. 데이터 패킷 내의 네트워크 계층 정보는 피해자 컴퓨팅 장치를 식별하는 목적지 IP 어드레스(706)도 포함한다.
포트 스캔 데이터 패킷(702) 내의 전송 계층 정보는 라인(708)에 나타낸 바와 같이 악의적 해커의 발생지 포트 번호와 피해자 호스트 컴퓨팅 장치의 목적지 포트 번호를 식별한다. 라인(710)은 포트 스캔 패킷의 시퀀스 번호이다. 라인(712)은 이 데이터 패킷을 피해자 컴퓨팅 장치와의 접속을 요구하는 동기화(SYN) 데이터 패킷으로 인식한다.
응답 데이터 패킷(703)은 피해자(714)의 발생지 IP 어드레스(714)와 목적지 IP 어드레스(716)를 포함한다. 목적지 IP 어드레스(716)는 악의적 해커가 이용하는 위조 IP 어드레스이다.
전송 계층 정보는 라인(714)에서 나타낸 바와 같이 응답 데이터 패킷을 발생하는 피해자 컴퓨팅 장치의 발생지 포트 번호를 포함한다. 라인(716)은 목적지 IP 어드레스를 포함한다. 이 예에서 목적지 IP 어드레스는 부수적 피해자의 위조 IP 어드레스이다. 부수적 피해자는 실제로 존재할 수도 존재하지 않을 수도 있다.
라인(722)은 불량 시퀀스 번호를 제공할 수 있다. 불량 시퀀스 번호는 가능한 시퀀스 번호의 예상 또는 허용 범위 밖에 있는 시퀀스 번호이다.
라인(722)은 응답 데이터 패킷(703)이 동기화/확인(SYN/ACK) 데이터 패킷임을 나타낸다. 다른 예에서 라인(722)은 응답 데이터 패킷(703)이 리셋(RST) 또는 피니시(FIN) 데이터 패킷임을 나타낼 수 있다.
즉 현재 이용될 수 있는 포트 스캔 방지 소프트웨어를 이용하여, 피해자가 라인(708)에서 식별될 수 있는 포트 23 상에서 작동하는 서비스를 갖고 있었다면, 피해자는 SYN/ACK 응답 데이터 패킷을 발생하여 응답할 것이다. 이것은 피해자 상의 포트 23과 악의적 호스트의 포트 1494 간의 세션의 종료일 것이다. 그러면 악의적 호스트는 피해자가 포트(23) 상에서 실행되는 텔넷 서비스를 갖고 있었다는 것을 알 것이다. 그러면 악의적 호스트는 포트 23 상에서 텔넷 공격을 개시할 수 있다. 현재 포트 스캔 방지 소프트웨어는 포트 스캔 패킷의 라인(705)에서 식별된 위조 IP 어드레스는 차단하겠지만 악의적 호스트의 실제 IP 어드레스는 차단하지 못할 것이다. 따라서 악의적 호스트는 포트 23을 마음대로 공격할 것이다.
예시적인 실시예에 따라서, 피해자가 포트 스캔 데이터 패킷(702)을 수신하면 피해자의 개량형 포트 스캔 방지 소프트웨어는 실제 악의적 호스트가 응답하도록 하는 식으로 응답한다. 예컨대 개량형 포트 스캔 방지 소프트웨어는 불량 시퀀스 번호, 리셋(RST) 메시지 또는 피니시(FIN) 메시지를 포함하는 응답 데이터 패킷(703)을 발생한다. 부수적 호스트는 포트 스캔 데이터 패킷(702)을 보내지 않았기 때문에 부수적 호스트는 응답 데이터 패킷(703)에 응답하지 않을 것이다. 대신에, 부수적 호스트가 실제로 존재한다면, 부수적 호스트는 응답 데이터 패킷(703)을 무시할 것이다. 부수적 호스트가 존재하지 않으면 부수적 호스트는 응답 데이터 패킷(703)에 응답할 수 없다. 따라서 악의적 호스트만이 응답 데이터 패킷(703)에 응답할 것으로 예상된다. 이런 식으로 피해자는 포트 스캔을 이용하여 악의적 호스트에 의한 공격에 취약할 수 있는 열린 포트를 알아내려는 악의적 호스트의 실제 IP 어드레스를 알아내어 차단할 수 있다.
이제 도 8을 참조로 살명하면, 예시적인 실시예에 따른 위조 발생지 IP 어드레스를 가진 포트 스캔을 탐지하기 위한 프로세스를 나타낸 플로우차트가 도시되어 있다. 도 8에 도시된 이 예에서 프로세스는 도 5의 개량형 포트 스캔 방지 기구(512)와 같은 포트 스캔 방지를 위한 소프트웨어 성분에 의해 수행된다.
프로세스는 포트 스캔이 탐지되는지 여부에 대해 판단함으로써 시작한다(단계 802). 포트 스캔이 탐지되지 않으면, 프로세스는 포트 스캔이 탐지될 때까지 단계(802)로 되돌아 간다. 포트 스캔 데이터 패킷 또는 일련의 데이터 패킷이 악의적 호스트로부터 수신될 때에 포트 스캔이 탐지될 수 있다.
단계(802)에서 포트 스캔이 탐지되면, 프로세스는 변형된 응답 데이터 패킷을 발생한다(단계 804). 프로세스는 이 변형된 응답 데이터 패킷을 포트 스캔 데이터 패킷에서 식별된 발생지 IP 어드레스에 보낸다(단계 806). 이 예에서 발생지 IP 어드레스는 포트 스캔을 행하는 호스트의 실제 IP 어드레스가 아닌 위조 발생지 IP 어드레스이다.
그러면 프로세스는 이 응답에 대한 응답이 수신되는지 여부에 대해 판단한다(단계 808). 응답이 수신되지 않으면, 프로세스는 응답이 수신될 때까지 단계(808)로 되돌아 간다. 단계(808)에서 응답이 수신되면, 프로세스는 포트 스캔의 발생지로부터 개시될 수 있는 공격을 방지하기 위하여 응답의 전송 제어 프로토콜 헤더에서 식별된 제2 IP 어드레스로부터의 모든 네트워크 트래픽을 차단하고(단계 810), 그 후에 프로세스는 종료한다.
도 9는 예시적인 실시예에 따른 응답 데이터 패킷을 변형하기 위한 프로세스를 나타낸 플로우차트이다. 도 9의 예에서 프로세스는 도 5의 개량형 포트 스캔 방지 기구(512)와 같은 포트 스캔 방지 소프트웨어 성분에 의해 구현될 수 있다.
프로세스는 응답 데이터 패킷을 발생함으로써(단계 902) 시작한다. 프로세스는 응답 데이터 패킷의 전송 제어 프로토콜 헤더에 불량 시퀀스 번호를 부가함으로써 응답 데이터 패킷을 변형시킬 것인지 여부에 대해 판단한다(단계 904). 불량 시퀀스 번호를 부가하여 응답 데이터 패킷을 변형시키는 것으로 판단되면, 프로세스는 응답 데이터 패킷의 헤더에 불량 시퀀스 번호를 부가하고(단계 906), 이 변형된 응답 데이터 패킷을 부수적 피해자에 전송한(단계 908) 다음에 종료한다.
단계(904)로 되돌아 가서, 불량 시퀀스 번호가 부가되지 않을 것으로 판단되면, 프로세스는 응답 데이터 패킷에 리셋 플래그 또는 피니시 플래그를 부가할 것인지 여부에 대해 판단한다(단계 910). 프로세스가 플래그가 부가되지 않을 것이라고 판단하면, 프로세스는 종료한다.
단계(910)로 되돌아 가서, 프로세스가 리셋 플래그 또는 피니시 플래그를 부가하여 응답 데이터 패킷을 변형시키는 것으로 판단하면, 프로세스는 응답 데이터 패킷에 리셋 플래그 또는 피니시 플래그를 부가한다(단계 912). 그러면 프로세스는 그 변형된 응답 데이터 패킷을 부수적 피해자에게 보낸(단계 908) 다음에 종료한다.
이렇게 하여 예시적인 실시예는 포트 스캔 방지를 위한 컴퓨터 구현 방법, 장치 및 컴퓨터 이용 프로그램 코드를 제공한다. 일 실시예에서 프로세스는 포트 스캔 탐지에 응답하여 소정의 변형된 전송 제어 프로토콜 헤더를 가진 응답 데이터 패킷을 발생하여 변형된 응답 데이터 패킷을 구성한다. 변형된 응답 데이터 패킷은 변형된 데이터 패킷의 수신측으로부터의 응답을 이끌어낼 것이다. 프로세스는 응답 데이터 패킷을 포트 스캔과 연관된 제1 인터넷 프로토콜 어드레스에 보낸다.
프로세스는 변형된 응답 데이터 패킷의 수신에 응답하여 응답 데이터 패킷의 헤더레서 제2 인터넷 프로토콜 어드레스를 식별한다. 제2 인터넷 프로토콜 어드레스는 포트 스캔의 발생지의 실제 인터넷 프로토콜 어드레스이다. 그러면 제2 인터넷 프로토콜 어드레스로부터의 모든 네트워크 트래픽은 차단되어 열린 포트에 대한 공격을 방지할 수 있다.
변형된 전송 제어 프로토콜은 불량 시퀀스 번호를 포함할 수 있다. 불량 시퀀스 번호는 시퀀스 번호의 허용 범위 밖에 있는 시퀀스 번호이다. 다른 실시예에서 변형된 전송 제어 프로토콜 헤더는 리셋 플래그 또는 피니시 플래그를 포함할 수 있다. 다른 실시예에서 변형된 전송 제어 프로토콜은 변형된 응답 데이터 패킷을 발생하는데 이용된 체크섬(checksum)을 변경함으로써 발생된다.
이런 식으로 위조 IP 어드레스를 이용하는 해커에 의한 잠재적으로 취약한 영린 포트에 대한 공격이 방지될 수 있다.
도면들에서의 플로우차트와 블록도는 각종 실시예에 따른 시스템, 방법 및 컴퓨터 프로그램 제품의 가능한 구현의 구조, 기능 및 동작을 예시적으로 보여준다. 이와 관련하여 플로우차트 또는 블록도에서의 각 단계는 특정된 논리적 기능을 구현하기 위한 하나 또는 그 이상의 실행 명형을 포함하는 모듈, 세그먼트, 또는 코드 일부를 나타낼 수 있다. 또한 일부 대안적인 실시예에서는 단계들에서 명시된 기능들은 도면에 명시된 순서와는 다른 순서로 수행될 수 있음에 유의해야 한다. 예컨대 연속한 2개의 단계는 관련 기능에 따라서는 실제로는 거의 동시에 실행될 수 있으며 이 단계들은 때로는 반대 순서로 실행될 수 있다.
본 발명은 전체적으로 하드웨어 실시예, 전체적으로 소프트웨어 실시예 또는 하드웨어와 소프트웨어 요소 모두를 포함하는 실시예의 형태를 가질 수 있다. 바람직한 실시예에서 본 발명은 펌웨어, 상주 소프트웨어, 마이크로코드 등을 포함하는(이에 한정되지 않음) 소프트웨어로 구현된다.
더욱이 본 발명은 컴퓨터 또는 임의의 명령 실행 시스템이 이용하는 또는 이와 관련한 프로그램 코드를 제공하는 컴퓨터 이용 또는 컴퓨터 판독 매체로부터 접근할 수 있다 컴퓨터 프로그램 제품 형태를 가질 수 있다. 이 설명 목적상, 컴퓨터 이용 또는 컴퓨터 판독 매체는 명령 실행 시스템, 장치 또는 디바이스가 이용하는 또는 이와 관련한 프로그램을 포함, 저장, 전달, 전파 또는 전송할 수 있는 임의의 실체적 장치일 수 있다.
이 매체는 전자, 자기, 광, 전자기, 적외선 또는 반도체 시스템(또는 장치나 디바이스) 또는 전파 매체일 수 있다. 컴퓨터 판독 매체의 예로는 반도체 또는 고체 상태 메모리, 자기 테이프, 착탈식 컴퓨터 디스켓, 임의 접근 메모리(RAM), 읽기 전용 메모리(ROM), 강체 자기 디스크 및 광 디스크가 있다. 광 디스크의 현재의 예로는 컴팩 디스크-읽기 전용 메모리(CD-ROM), 컴팩 디스크-읽기/쓰기(CD-R/W) 및 DVD가 있다.
프로그램 코드를 저장 및/또는 실행하는데 적합한 데이터 처리 시스템은 시스템 버스를 통해 메모리 소자에 직접적으로 또는 간접적으로 연결된 적어도 하나의 프로세서를 포함할 것이다. 메모리 소자는 프로그램 코드의 실제 싱행 주에 이용되는 로컬 메모리, 대용량 저장 장치, 그리고 실행 중에 대용량 저장 장치로부터 검색되어야 하는 코드의 검색 회수를 줄이기 위하여 적어도 일부 프로그램 코드를 임시로 저장하는 캐시 메모리를 포함할 수 있다.
(키패드, 디스플레이, 포인팅 장치 등을 포함하는(이에 한정되지 않음)) 입/출력(I/O) 장치는 시스템에 바로 또는 중간의 I/O 컨트롤러를 통해 연결될 수 있 다.
네트워크 어댑터도 데이터 처리 시스템이 전용 또는 공용 네트워크를 통해 다른 데이터 처리 시스템이나 원격 프린터 또는 장치 장치에 연결될 수 있도록 시스템에 연결될 수 있다. 모뎀, 케이블 모뎀 및 이더넷 카드는 현재 이용될 수 있는 형태의 네트워크 어댑터의 몇 가지 예이다.
본 발명의 설명은 예시 및 설명 목적상 제공된 것으로 본 발명의 전체 내용을 빠짐없이 설명하는 것이 아니며 본 발명을 개시된 형태로 한정하는 것도 아니다. 많은 변경과 변형은 당업자에게 자명할 것이다. 실시예는 본 발명의 원리와 실제 응용을 가장 잘 설명하기 위하여 그리고 당업자가 특정 용도에 적합한 여러 가지 변형을 가진 각종 실시예에 대해 본 발명을 이해할 수 있도록 선택되고 설명되었다.

Claims (10)

  1. 포트 스캔의 방지(port scan protection)를 위한 컴퓨터 구현 방법에 있어서, 컴퓨터의 프로세서에 의해,
    포트 스캔을 탐지하는 것에 응답하여, 변형된 응답 데이터 패킷(modified reply data packet)을 형성하기 위하여 데이터 패킷을 전송하는데 이용된 프로토콜을 따르는 변형된 헤더를 갖는 응답 데이터 패킷을 생성하는 단계로서, 상기 변형된 응답 데이터 패킷은 상기 변형된 응답 데이터 패킷의 수신측으로부터 회답(response)을 이끌어낼 것이며, 상기 수신측이 상기 변형된 응답 데이터 패킷을 스누핑(snooping)하는 것에 응답하여, 상기 변형된 헤더는 상기 수신측의 전송 제어 프로토콜/인터넷 프로토콜 층으로 하여금 상기 변형된 응답 데이터 패킷에 회답하도록 강제할 것인, 상기 응답 데이터 패킷을 생성하는 단계;
    상기 변형된 응답 데이터 패킷을 상기 포트 스캔과 연관된 제1 발생지 인터넷 프로토콜 어드레스에 전송하는 단계; 및
    상기 변형된 응답 데이터 패킷에 대한 상기 회답을 수신하는 것에 응답하여, 상기 회답의 헤더 내에 있는 제2 발생지 인터넷 프로토콜 어드레스가 상기 포트 스캔의 발생지의 정확한 발생지 인터넷 프로토콜 어드레스인 것이라고 식별하는 단계로서, 상기 제2 발생지 인터넷 프로토콜 어드레스는 제1 발생지 인터넷 프로토콜 어드레스와 다른 것인, 상기 식별 단계
    를 수행하는 것을 포함하는 포트 스캔의 방지를 위한 컴퓨터 구현 방법.
  2. 제1항에 있어서,
    상기 프로토콜에 대한 상기 변형된 헤더는 시퀀스 번호의 허용 범위 밖에 있는 시퀀스 번호를 포함하는 것인, 포트 스캔의 방지를 위한 컴퓨터 구현 방법.
  3. 제1항에 있어서,
    상기 프로토콜에 대한 상기 변형된 헤더는 리셋 플래그를 포함하는 것인, 포트 스캔의 방지를 위한 컴퓨터 구현 방법.
  4. 제1항에 있어서,
    상기 헤더를 변형시키는 것은 상기 변형된 응답 데이터 패킷을 생성하는데 이용된 체크섬(checksum)을 변경하는 것을 포함하는 것인, 포트 스캔의 방지를 위한 컴퓨터 구현 방법.
  5. 제1항에 있어서,
    임의의 열린 포트에 대한 공격을 방지하기 위하여 상기 제2 라우팅 어드레스로부터 나오는 네트워크 트래픽을 차단하는 단계를 더 포함하는, 포트 스캔의 방지를 위한 컴퓨터 구현 방법.
  6. 제1항에 있어서,
    상기 프로토콜에 대한 상기 변형된 헤더는 변형된 전송 제어 프로토콜 헤더인 것인, 포트 스캔의 방지를 위한 컴퓨터 구현 방법.
  7. 제1항에 있어서,
    상기 변형된 헤더에서의 데이터링크 층은 상기 변형된 응답 데이터 패킷의 목적지에 대한 매체 액세스 제어 어드레스를 나타내는 것인, 포트 스캔의 방지를 위한 컴퓨터 구현 방법.
  8. 버스 시스템;
    상기 버스 시스템에 연결된 통신 시스템;
    상기 버스 시스템에 연결되어 있으며, 컴퓨터 이용가능 프로그램 코드를 포함하는 메모리; 및
    상기 버스 시스템에 연결된 처리 유닛
    을 포함하며, 상기 처리 유닛은,
    포트 스캔을 탐지한 것에 응답하여, 변형된 응답 데이터 패킷 -- 상기 변형된 응답 데이터 패킷은 상기 변형된 응답 데이터 패킷의 수신측으로부터 회답 데이터 패킷을 이끌어낼 것임 -- 을 형성하기 위해 데이터 패킷들을 송신하는데 이용된 프로토콜을 따르는 변형된 헤더 -- 상기 변형된 헤더는 상기 수신측이 상기 변형된 응답 데이터 패킷을 스누핑(snooping)하는 것에 응답하여 상기 수신측의 전송 제어 프로토콜/인터넷 프로토콜 층으로 하여금 상기 변형된 응답 데이터 패킷에 회답하도록 강제할 것임 -- 를 갖는 응답 데이터 패킷을 생성하고; 상기 변형된 응답 데이터 패킷을 상기 포트 스캔과 연관된 제1 발생지 인터넷 프로토콜 어드레스에 전송하며; 상기 회답 데이터 패킷을 수신한 것에 응답하여 상기 회답 데이터 패킷의 헤더내의 제2 발생지 인터넷 프로토콜 어드레스가 상기 포트 스캔의 발생지의 정확한 발생지 인터넷 프로토콜 어드레스인 것이라고 식별하기 위한 컴퓨터 사용가능 프로그램 코드를 실행하며,
    상기 제2 발생지 인터넷 프로토콜 어드레스는 상기 제1 발생지 인터넷 프로토콜 어드레스와 다른 것인, 장치.
  9. 포트 스캔 방지 시스템에 있어서,
    호스트 컴퓨터를 포함하며, 상기 호스트 컴퓨터는,
    포트 스캔 데이터 패킷을 탐지하고, 포트 스캔을 탐지하는 것에 응답하여, 변형된 응답 데이터 패킷을 형성하기 위하여 데이터 패킷을 전송하는데 이용된 프로토콜을 따르는 변형된 헤더를 가진 응답 데이터 패킷을 발생하기 위한 개선된 포트 스캔 방지 소프트웨어로서, 상기 변형된 응답 데이터 패킷은 상기 변형된 응답 데이터 패킷의 수신측으로부터 회답 데이터 패킷을 이끌어낼 것이며, 상기 수신측이 상기 변형된 응답 데이터 패킷을 스누핑(snooping)하는 것에 응답하여, 상기 변형된 헤더는 상기 수신측의 전송 제어 프로토콜/인터넷 프로토콜 층으로 하여금 상기 변형된 응답 데이터 패킷에 회답하도록 강제시킬 것이며, 상기 변형된 응답 데이터 패킷은 상기 포트 스캔과 연관된 제1 발생지 인터넷 프로토콜 어드레스에 전송되는 것인, 상기 개선된 포트 스캔 방지 소프트웨어; 및
    상기 변형된 응답 데이터 패킷에 대한 회답의 헤더 내에 있는 제2 발생지 인터넷 프로토콜 어드레스가 상기 포트 스캔의 발생지의 정확한 발생지 인터넷 프로토콜 어드레스인 것이라고 식별하는 발생지 인터넷 프로토콜 어드레스 탐지기
    를 포함하며, 상기 제2 발생지 인터넷 프로토콜 어드레스는 제1 발생지 인터넷 프로토콜 어드레스와 다른 것인, 포트 스캔 방지 시스템.
  10. 디지털 컴퓨터의 내부 메모리에 로드될 수 있는 컴퓨터 프로그램을 기록한 컴퓨터 판독가능 저장매체에 있어서,
    상기 컴퓨터 프로그램이 컴퓨터 상에서 실행될 때에 청구항 제1항 내지 제7항 중 어느 한 항에 따른 방법의 모든 단계를 실시하는 것을 수행하기 위한 소프트웨어 코드 부분을 포함하는 컴퓨터 프로그램을 기록한 컴퓨터 판독가능 저장매체.
KR1020097018353A 2007-04-23 2008-04-16 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치 KR101054705B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/738,547 US7962957B2 (en) 2007-04-23 2007-04-23 Method and apparatus for detecting port scans with fake source address
US11/738,547 2007-04-23
PCT/EP2008/054617 WO2008128941A1 (en) 2007-04-23 2008-04-16 Method and apparatus for detecting port scans with fake source address

Publications (2)

Publication Number Publication Date
KR20090115198A KR20090115198A (ko) 2009-11-04
KR101054705B1 true KR101054705B1 (ko) 2011-08-08

Family

ID=39737064

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020097018353A KR101054705B1 (ko) 2007-04-23 2008-04-16 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치

Country Status (13)

Country Link
US (1) US7962957B2 (ko)
EP (1) EP2140656B1 (ko)
JP (1) JP4517042B1 (ko)
KR (1) KR101054705B1 (ko)
CN (1) CN101669347B (ko)
AT (1) ATE488945T1 (ko)
BR (1) BRPI0809841B1 (ko)
CA (1) CA2672528C (ko)
DE (1) DE602008003560D1 (ko)
IL (1) IL201726A (ko)
MX (1) MX2009011403A (ko)
TW (1) TWI436631B (ko)
WO (1) WO2008128941A1 (ko)

Families Citing this family (200)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8054833B2 (en) * 2007-06-05 2011-11-08 Hewlett-Packard Development Company, L.P. Packet mirroring
US8180891B1 (en) * 2008-11-26 2012-05-15 Free Stream Media Corp. Discovery, access control, and communication with networked services from within a security sandbox
CN102025483B (zh) * 2009-09-17 2012-07-04 国基电子(上海)有限公司 无线路由器及利用该无线路由器预防恶意扫描的方法
CN102006290B (zh) * 2010-08-12 2013-08-07 清华大学 Ip源地址追溯的方法
CN102177681B (zh) * 2011-04-21 2013-04-24 华为技术有限公司 检测故障的方法和***
WO2012167066A2 (en) * 2011-06-01 2012-12-06 Wilmington Savings Fund Society, Fsb Method and system for providing information from third party applications to devices
US9113347B2 (en) 2012-12-05 2015-08-18 At&T Intellectual Property I, Lp Backhaul link for distributed antenna system
US10009065B2 (en) 2012-12-05 2018-06-26 At&T Intellectual Property I, L.P. Backhaul link for distributed antenna system
US9525524B2 (en) 2013-05-31 2016-12-20 At&T Intellectual Property I, L.P. Remote distributed antenna system
US9999038B2 (en) 2013-05-31 2018-06-12 At&T Intellectual Property I, L.P. Remote distributed antenna system
US9436652B2 (en) * 2013-06-01 2016-09-06 General Electric Company Honeyport active network security
US9319424B2 (en) 2013-06-18 2016-04-19 Ccs-Inc. Methods and systems for complying with network security requirements
US8897697B1 (en) 2013-11-06 2014-11-25 At&T Intellectual Property I, Lp Millimeter-wave surface-wave communications
KR101528851B1 (ko) * 2013-11-19 2015-06-17 (주)다보링크 Apc 및 그 제어방법과, 그 제어방법을 실행하기 위한 프로그램을 기록한 기록 매체
US9209902B2 (en) 2013-12-10 2015-12-08 At&T Intellectual Property I, L.P. Quasi-optical coupler
US9350748B1 (en) * 2013-12-16 2016-05-24 Amazon Technologies, Inc. Countering service enumeration through optimistic response
CN103685279B (zh) * 2013-12-18 2016-08-03 东南大学 基于自适应的网络端口快速扫描方法
US20150229659A1 (en) * 2014-02-13 2015-08-13 Guardicore Ltd. Passive detection of malicious network-mapping software in computer networks
CN104935556B (zh) * 2014-03-20 2019-06-07 腾讯科技(深圳)有限公司 一种网络安全处理方法、装置及***
CN104113553A (zh) * 2014-07-29 2014-10-22 网神信息技术(北京)股份有限公司 端口状态识别方法、装置和***
US9692101B2 (en) 2014-08-26 2017-06-27 At&T Intellectual Property I, L.P. Guided wave couplers for coupling electromagnetic waves between a waveguide surface and a surface of a wire
US9768833B2 (en) 2014-09-15 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for sensing a condition in a transmission medium of electromagnetic waves
US10063280B2 (en) 2014-09-17 2018-08-28 At&T Intellectual Property I, L.P. Monitoring and mitigating conditions in a communication network
US9628854B2 (en) 2014-09-29 2017-04-18 At&T Intellectual Property I, L.P. Method and apparatus for distributing content in a communication network
US9615269B2 (en) 2014-10-02 2017-04-04 At&T Intellectual Property I, L.P. Method and apparatus that provides fault tolerance in a communication network
US9685992B2 (en) 2014-10-03 2017-06-20 At&T Intellectual Property I, L.P. Circuit panel network and methods thereof
US9503189B2 (en) 2014-10-10 2016-11-22 At&T Intellectual Property I, L.P. Method and apparatus for arranging communication sessions in a communication system
US9762289B2 (en) 2014-10-14 2017-09-12 At&T Intellectual Property I, L.P. Method and apparatus for transmitting or receiving signals in a transportation system
US9973299B2 (en) 2014-10-14 2018-05-15 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a mode of communication in a communication network
US10587706B2 (en) 2014-10-20 2020-03-10 The Nielsen Company (US) Methods and apparatus to correlate a demographic segment with a fixed device
US9627768B2 (en) 2014-10-21 2017-04-18 At&T Intellectual Property I, L.P. Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US9577306B2 (en) 2014-10-21 2017-02-21 At&T Intellectual Property I, L.P. Guided-wave transmission device and methods for use therewith
US9653770B2 (en) 2014-10-21 2017-05-16 At&T Intellectual Property I, L.P. Guided wave coupler, coupling module and methods for use therewith
US9780834B2 (en) 2014-10-21 2017-10-03 At&T Intellectual Property I, L.P. Method and apparatus for transmitting electromagnetic waves
US9520945B2 (en) 2014-10-21 2016-12-13 At&T Intellectual Property I, L.P. Apparatus for providing communication services and methods thereof
US9564947B2 (en) 2014-10-21 2017-02-07 At&T Intellectual Property I, L.P. Guided-wave transmission device with diversity and methods for use therewith
US9312919B1 (en) 2014-10-21 2016-04-12 At&T Intellectual Property I, Lp Transmission device with impairment compensation and methods for use therewith
US9769020B2 (en) 2014-10-21 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for responding to events affecting communications in a communication network
US9948661B2 (en) 2014-10-29 2018-04-17 At&T Intellectual Property I, L.P. Method and apparatus for detecting port scans in a network
US9680670B2 (en) 2014-11-20 2017-06-13 At&T Intellectual Property I, L.P. Transmission device with channel equalization and control and methods for use therewith
US9742462B2 (en) 2014-12-04 2017-08-22 At&T Intellectual Property I, L.P. Transmission medium and communication interfaces and methods for use therewith
US9800327B2 (en) 2014-11-20 2017-10-24 At&T Intellectual Property I, L.P. Apparatus for controlling operations of a communication device and methods thereof
US9997819B2 (en) 2015-06-09 2018-06-12 At&T Intellectual Property I, L.P. Transmission medium and method for facilitating propagation of electromagnetic waves via a core
US10009067B2 (en) 2014-12-04 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for configuring a communication interface
US10243784B2 (en) 2014-11-20 2019-03-26 At&T Intellectual Property I, L.P. System for generating topology information and methods thereof
US10340573B2 (en) 2016-10-26 2019-07-02 At&T Intellectual Property I, L.P. Launcher with cylindrical coupling device and methods for use therewith
US9654173B2 (en) 2014-11-20 2017-05-16 At&T Intellectual Property I, L.P. Apparatus for powering a communication device and methods thereof
US9461706B1 (en) 2015-07-31 2016-10-04 At&T Intellectual Property I, Lp Method and apparatus for exchanging communication signals
US9954287B2 (en) 2014-11-20 2018-04-24 At&T Intellectual Property I, L.P. Apparatus for converting wireless signals and electromagnetic waves and methods thereof
US9544006B2 (en) 2014-11-20 2017-01-10 At&T Intellectual Property I, L.P. Transmission device with mode division multiplexing and methods for use therewith
US10144036B2 (en) 2015-01-30 2018-12-04 At&T Intellectual Property I, L.P. Method and apparatus for mitigating interference affecting a propagation of electromagnetic waves guided by a transmission medium
US9876570B2 (en) 2015-02-20 2018-01-23 At&T Intellectual Property I, Lp Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
WO2016148676A1 (en) 2015-03-13 2016-09-22 Hewlett Packard Enterprise Development Lp Determine anomalous behavior based on dynamic device configuration address range
US9749013B2 (en) 2015-03-17 2017-08-29 At&T Intellectual Property I, L.P. Method and apparatus for reducing attenuation of electromagnetic waves guided by a transmission medium
US10224981B2 (en) 2015-04-24 2019-03-05 At&T Intellectual Property I, Lp Passive electrical coupling device and methods for use therewith
US9705561B2 (en) 2015-04-24 2017-07-11 At&T Intellectual Property I, L.P. Directional coupling device and methods for use therewith
US9948354B2 (en) 2015-04-28 2018-04-17 At&T Intellectual Property I, L.P. Magnetic coupling device with reflective plate and methods for use therewith
US9793954B2 (en) 2015-04-28 2017-10-17 At&T Intellectual Property I, L.P. Magnetic coupling device and methods for use therewith
US9490869B1 (en) 2015-05-14 2016-11-08 At&T Intellectual Property I, L.P. Transmission medium having multiple cores and methods for use therewith
US9871282B2 (en) 2015-05-14 2018-01-16 At&T Intellectual Property I, L.P. At least one transmission medium having a dielectric surface that is covered at least in part by a second dielectric
US9748626B2 (en) 2015-05-14 2017-08-29 At&T Intellectual Property I, L.P. Plurality of cables having different cross-sectional shapes which are bundled together to form a transmission medium
US10679767B2 (en) 2015-05-15 2020-06-09 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US10650940B2 (en) 2015-05-15 2020-05-12 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US9531750B2 (en) * 2015-05-19 2016-12-27 Ford Global Technologies, Llc Spoofing detection
US9917341B2 (en) 2015-05-27 2018-03-13 At&T Intellectual Property I, L.P. Apparatus and method for launching electromagnetic waves and for modifying radial dimensions of the propagating electromagnetic waves
US10154493B2 (en) 2015-06-03 2018-12-11 At&T Intellectual Property I, L.P. Network termination and methods for use therewith
US10348391B2 (en) 2015-06-03 2019-07-09 At&T Intellectual Property I, L.P. Client node device with frequency conversion and methods for use therewith
US10103801B2 (en) 2015-06-03 2018-10-16 At&T Intellectual Property I, L.P. Host node device and methods for use therewith
US10812174B2 (en) 2015-06-03 2020-10-20 At&T Intellectual Property I, L.P. Client node device and methods for use therewith
US9866309B2 (en) 2015-06-03 2018-01-09 At&T Intellectual Property I, Lp Host node device and methods for use therewith
US9912381B2 (en) 2015-06-03 2018-03-06 At&T Intellectual Property I, Lp Network termination and methods for use therewith
US9913139B2 (en) 2015-06-09 2018-03-06 At&T Intellectual Property I, L.P. Signal fingerprinting for authentication of communicating devices
US10142086B2 (en) 2015-06-11 2018-11-27 At&T Intellectual Property I, L.P. Repeater and methods for use therewith
US9608692B2 (en) 2015-06-11 2017-03-28 At&T Intellectual Property I, L.P. Repeater and methods for use therewith
US9820146B2 (en) 2015-06-12 2017-11-14 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
US9667317B2 (en) 2015-06-15 2017-05-30 At&T Intellectual Property I, L.P. Method and apparatus for providing security using network traffic adjustments
US9640850B2 (en) 2015-06-25 2017-05-02 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a non-fundamental wave mode on a transmission medium
US9509415B1 (en) 2015-06-25 2016-11-29 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a fundamental wave mode on a transmission medium
US9865911B2 (en) 2015-06-25 2018-01-09 At&T Intellectual Property I, L.P. Waveguide system for slot radiating first electromagnetic waves that are combined into a non-fundamental wave mode second electromagnetic wave on a transmission medium
US10033108B2 (en) 2015-07-14 2018-07-24 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave having a wave mode that mitigates interference
US10033107B2 (en) 2015-07-14 2018-07-24 At&T Intellectual Property I, L.P. Method and apparatus for coupling an antenna to a device
US9722318B2 (en) 2015-07-14 2017-08-01 At&T Intellectual Property I, L.P. Method and apparatus for coupling an antenna to a device
US9853342B2 (en) 2015-07-14 2017-12-26 At&T Intellectual Property I, L.P. Dielectric transmission medium connector and methods for use therewith
US10148016B2 (en) 2015-07-14 2018-12-04 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array
US10320586B2 (en) 2015-07-14 2019-06-11 At&T Intellectual Property I, L.P. Apparatus and methods for generating non-interfering electromagnetic waves on an insulated transmission medium
US9882257B2 (en) 2015-07-14 2018-01-30 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US9628116B2 (en) 2015-07-14 2017-04-18 At&T Intellectual Property I, L.P. Apparatus and methods for transmitting wireless signals
US10205655B2 (en) 2015-07-14 2019-02-12 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array and multiple communication paths
US10044409B2 (en) 2015-07-14 2018-08-07 At&T Intellectual Property I, L.P. Transmission medium and methods for use therewith
US9836957B2 (en) 2015-07-14 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for communicating with premises equipment
US10341142B2 (en) 2015-07-14 2019-07-02 At&T Intellectual Property I, L.P. Apparatus and methods for generating non-interfering electromagnetic waves on an uninsulated conductor
US10170840B2 (en) 2015-07-14 2019-01-01 At&T Intellectual Property I, L.P. Apparatus and methods for sending or receiving electromagnetic signals
US9847566B2 (en) 2015-07-14 2017-12-19 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a field of a signal to mitigate interference
US9608740B2 (en) 2015-07-15 2017-03-28 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US9793951B2 (en) 2015-07-15 2017-10-17 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US10090606B2 (en) 2015-07-15 2018-10-02 At&T Intellectual Property I, L.P. Antenna system with dielectric array and methods for use therewith
US10784670B2 (en) 2015-07-23 2020-09-22 At&T Intellectual Property I, L.P. Antenna support for aligning an antenna
US9912027B2 (en) 2015-07-23 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for exchanging communication signals
US9948333B2 (en) 2015-07-23 2018-04-17 At&T Intellectual Property I, L.P. Method and apparatus for wireless communications to mitigate interference
US9749053B2 (en) 2015-07-23 2017-08-29 At&T Intellectual Property I, L.P. Node device, repeater and methods for use therewith
US9871283B2 (en) 2015-07-23 2018-01-16 At&T Intellectual Property I, Lp Transmission medium having a dielectric core comprised of plural members connected by a ball and socket configuration
US9967173B2 (en) 2015-07-31 2018-05-08 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
US10020587B2 (en) 2015-07-31 2018-07-10 At&T Intellectual Property I, L.P. Radial antenna and methods for use therewith
US9735833B2 (en) 2015-07-31 2017-08-15 At&T Intellectual Property I, L.P. Method and apparatus for communications management in a neighborhood network
US9904535B2 (en) 2015-09-14 2018-02-27 At&T Intellectual Property I, L.P. Method and apparatus for distributing software
US10051629B2 (en) 2015-09-16 2018-08-14 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an in-band reference signal
US9705571B2 (en) 2015-09-16 2017-07-11 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system
US10009063B2 (en) 2015-09-16 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an out-of-band reference signal
US10079661B2 (en) 2015-09-16 2018-09-18 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having a clock reference
US10136434B2 (en) 2015-09-16 2018-11-20 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an ultra-wideband control channel
US10009901B2 (en) 2015-09-16 2018-06-26 At&T Intellectual Property I, L.P. Method, apparatus, and computer-readable storage medium for managing utilization of wireless resources between base stations
US9769128B2 (en) 2015-09-28 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for encryption of communications over a network
US9729197B2 (en) 2015-10-01 2017-08-08 At&T Intellectual Property I, L.P. Method and apparatus for communicating network management traffic over a network
US10074890B2 (en) 2015-10-02 2018-09-11 At&T Intellectual Property I, L.P. Communication device and antenna with integrated light assembly
US9876264B2 (en) 2015-10-02 2018-01-23 At&T Intellectual Property I, Lp Communication system, guided wave switch and methods for use therewith
US9882277B2 (en) 2015-10-02 2018-01-30 At&T Intellectual Property I, Lp Communication device and antenna assembly with actuated gimbal mount
US10051483B2 (en) 2015-10-16 2018-08-14 At&T Intellectual Property I, L.P. Method and apparatus for directing wireless signals
US10665942B2 (en) 2015-10-16 2020-05-26 At&T Intellectual Property I, L.P. Method and apparatus for adjusting wireless communications
US10355367B2 (en) 2015-10-16 2019-07-16 At&T Intellectual Property I, L.P. Antenna structure for exchanging wireless signals
CN106656914A (zh) * 2015-10-29 2017-05-10 阿里巴巴集团控股有限公司 防攻击数据传输方法及装置
US9813911B2 (en) 2015-12-08 2017-11-07 Panasonic Avionics Corporation Methods and systems for monitoring computing devices on a vehicle
CN105721442B (zh) * 2016-01-22 2019-03-22 北京卫达信息技术有限公司 基于动态变换虚假响应***、方法及网络安全***与方法
US10530803B1 (en) * 2016-07-05 2020-01-07 Wells Fargo Bank, N.A. Secure online transactions
US9912419B1 (en) 2016-08-24 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for managing a fault in a distributed antenna system
US9860075B1 (en) 2016-08-26 2018-01-02 At&T Intellectual Property I, L.P. Method and communication node for broadband distribution
US10291311B2 (en) 2016-09-09 2019-05-14 At&T Intellectual Property I, L.P. Method and apparatus for mitigating a fault in a distributed antenna system
US11032819B2 (en) 2016-09-15 2021-06-08 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having a control channel reference signal
US10340600B2 (en) 2016-10-18 2019-07-02 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via plural waveguide systems
US10135147B2 (en) 2016-10-18 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via an antenna
US10135146B2 (en) 2016-10-18 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via circuits
US9876605B1 (en) 2016-10-21 2018-01-23 At&T Intellectual Property I, L.P. Launcher and coupling system to support desired guided wave mode
US9991580B2 (en) 2016-10-21 2018-06-05 At&T Intellectual Property I, L.P. Launcher and coupling system for guided wave mode cancellation
US10374316B2 (en) 2016-10-21 2019-08-06 At&T Intellectual Property I, L.P. System and dielectric antenna with non-uniform dielectric
US10811767B2 (en) 2016-10-21 2020-10-20 At&T Intellectual Property I, L.P. System and dielectric antenna with convex dielectric radome
US10312567B2 (en) 2016-10-26 2019-06-04 At&T Intellectual Property I, L.P. Launcher with planar strip antenna and methods for use therewith
US10498044B2 (en) 2016-11-03 2019-12-03 At&T Intellectual Property I, L.P. Apparatus for configuring a surface of an antenna
US10224634B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Methods and apparatus for adjusting an operational characteristic of an antenna
US10225025B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Method and apparatus for detecting a fault in a communication system
US10291334B2 (en) 2016-11-03 2019-05-14 At&T Intellectual Property I, L.P. System for detecting a fault in a communication system
EP3319287A1 (en) * 2016-11-04 2018-05-09 Nagravision SA Port scanning
US10090594B2 (en) 2016-11-23 2018-10-02 At&T Intellectual Property I, L.P. Antenna system having structural configurations for assembly
US10535928B2 (en) 2016-11-23 2020-01-14 At&T Intellectual Property I, L.P. Antenna system and methods for use therewith
US10340603B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Antenna system having shielded structural configurations for assembly
US10340601B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Multi-antenna system and methods for use therewith
US10178445B2 (en) 2016-11-23 2019-01-08 At&T Intellectual Property I, L.P. Methods, devices, and systems for load balancing between a plurality of waveguides
US10361489B2 (en) 2016-12-01 2019-07-23 At&T Intellectual Property I, L.P. Dielectric dish antenna system and methods for use therewith
US10305190B2 (en) 2016-12-01 2019-05-28 At&T Intellectual Property I, L.P. Reflecting dielectric antenna system and methods for use therewith
US10020844B2 (en) 2016-12-06 2018-07-10 T&T Intellectual Property I, L.P. Method and apparatus for broadcast communication via guided waves
US10694379B2 (en) 2016-12-06 2020-06-23 At&T Intellectual Property I, L.P. Waveguide system with device-based authentication and methods for use therewith
US10819035B2 (en) 2016-12-06 2020-10-27 At&T Intellectual Property I, L.P. Launcher with helical antenna and methods for use therewith
US10326494B2 (en) 2016-12-06 2019-06-18 At&T Intellectual Property I, L.P. Apparatus for measurement de-embedding and methods for use therewith
US10439675B2 (en) 2016-12-06 2019-10-08 At&T Intellectual Property I, L.P. Method and apparatus for repeating guided wave communication signals
US10382976B2 (en) 2016-12-06 2019-08-13 At&T Intellectual Property I, L.P. Method and apparatus for managing wireless communications based on communication paths and network device positions
US10637149B2 (en) 2016-12-06 2020-04-28 At&T Intellectual Property I, L.P. Injection molded dielectric antenna and methods for use therewith
US10755542B2 (en) 2016-12-06 2020-08-25 At&T Intellectual Property I, L.P. Method and apparatus for surveillance via guided wave communication
US10135145B2 (en) 2016-12-06 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave along a transmission medium
US10727599B2 (en) 2016-12-06 2020-07-28 At&T Intellectual Property I, L.P. Launcher with slot antenna and methods for use therewith
US9927517B1 (en) 2016-12-06 2018-03-27 At&T Intellectual Property I, L.P. Apparatus and methods for sensing rainfall
US9893795B1 (en) 2016-12-07 2018-02-13 At&T Intellectual Property I, Lp Method and repeater for broadband distribution
US10243270B2 (en) 2016-12-07 2019-03-26 At&T Intellectual Property I, L.P. Beam adaptive multi-feed dielectric antenna system and methods for use therewith
US10168695B2 (en) 2016-12-07 2019-01-01 At&T Intellectual Property I, L.P. Method and apparatus for controlling an unmanned aircraft
US10027397B2 (en) 2016-12-07 2018-07-17 At&T Intellectual Property I, L.P. Distributed antenna system and methods for use therewith
US10359749B2 (en) 2016-12-07 2019-07-23 At&T Intellectual Property I, L.P. Method and apparatus for utilities management via guided wave communication
US10139820B2 (en) 2016-12-07 2018-11-27 At&T Intellectual Property I, L.P. Method and apparatus for deploying equipment of a communication system
US10547348B2 (en) 2016-12-07 2020-01-28 At&T Intellectual Property I, L.P. Method and apparatus for switching transmission mediums in a communication system
US10446936B2 (en) 2016-12-07 2019-10-15 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system and methods for use therewith
US10389029B2 (en) 2016-12-07 2019-08-20 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system with core selection and methods for use therewith
US10938108B2 (en) 2016-12-08 2021-03-02 At&T Intellectual Property I, L.P. Frequency selective multi-feed dielectric antenna system and methods for use therewith
US10777873B2 (en) 2016-12-08 2020-09-15 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10326689B2 (en) 2016-12-08 2019-06-18 At&T Intellectual Property I, L.P. Method and system for providing alternative communication paths
US9998870B1 (en) 2016-12-08 2018-06-12 At&T Intellectual Property I, L.P. Method and apparatus for proximity sensing
US10069535B2 (en) 2016-12-08 2018-09-04 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves having a certain electric field structure
US10103422B2 (en) 2016-12-08 2018-10-16 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10411356B2 (en) 2016-12-08 2019-09-10 At&T Intellectual Property I, L.P. Apparatus and methods for selectively targeting communication devices with an antenna array
US9911020B1 (en) 2016-12-08 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for tracking via a radio frequency identification device
US10530505B2 (en) 2016-12-08 2020-01-07 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves along a transmission medium
US10916969B2 (en) 2016-12-08 2021-02-09 At&T Intellectual Property I, L.P. Method and apparatus for providing power using an inductive coupling
US10389037B2 (en) 2016-12-08 2019-08-20 At&T Intellectual Property I, L.P. Apparatus and methods for selecting sections of an antenna array and use therewith
US10601494B2 (en) 2016-12-08 2020-03-24 At&T Intellectual Property I, L.P. Dual-band communication device and method for use therewith
US9838896B1 (en) 2016-12-09 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for assessing network coverage
US10264586B2 (en) 2016-12-09 2019-04-16 At&T Mobility Ii Llc Cloud-based packet controller and methods for use therewith
US10340983B2 (en) 2016-12-09 2019-07-02 At&T Intellectual Property I, L.P. Method and apparatus for surveying remote sites via guided wave communications
US10367832B2 (en) 2017-01-27 2019-07-30 Rapid7, Inc. Reactive virtual security appliances
US9973940B1 (en) 2017-02-27 2018-05-15 At&T Intellectual Property I, L.P. Apparatus and methods for dynamic impedance matching of a guided wave launcher
US10298293B2 (en) 2017-03-13 2019-05-21 At&T Intellectual Property I, L.P. Apparatus of communication utilizing wireless network devices
TWI628936B (zh) * 2017-04-25 2018-07-01 中華電信股份有限公司 Automatic control system for controlling the existence of internet protocol address device and control method thereof
TWI641282B (zh) * 2017-05-19 2018-11-11 瑞昱半導體股份有限公司 合作式服務集之網路主控裝置與網路通訊方法
WO2018224720A1 (en) * 2017-06-07 2018-12-13 Airo Finland Oy Defend against denial of service attack
US10567433B2 (en) * 2017-07-06 2020-02-18 Bank Of America Corporation Network device authorization for access control and information security
EP3439259B1 (de) 2017-08-02 2019-11-27 Siemens Aktiengesellschaft Härten eines kommunikationsgerätes
CN109995727B (zh) * 2017-12-30 2021-11-09 ***通信集团河北有限公司 渗透攻击行为主动防护方法、装置、设备及介质
US11363037B2 (en) * 2019-04-01 2022-06-14 Microsoft Technology Licensing, Llc. Real-time detection of malicious activity through collaborative filtering
CN111162996B (zh) * 2019-12-27 2020-12-15 广东睿江云计算股份有限公司 一种邮件注册的优化方法及其***
TWI785374B (zh) 2020-09-01 2022-12-01 威聯通科技股份有限公司 網路惡意行為偵測方法與利用其之交換系統
CN112187775B (zh) * 2020-09-23 2021-09-03 北京微步在线科技有限公司 一种端口扫描的检测方法及装置
US11991187B2 (en) * 2021-01-22 2024-05-21 VMware LLC Security threat detection based on network flow analysis
CN113824740B (zh) * 2021-11-23 2022-03-04 山东云天安全技术有限公司 端口检测方法、电子设备和计算机可读存储介质
CN114826663B (zh) * 2022-03-18 2023-12-01 烽台科技(北京)有限公司 蜜罐识别方法、装置、设备及存储介质
CN115190070B (zh) * 2022-06-07 2024-06-25 阿里巴巴(中国)有限公司 路由探测方法及装置
WO2023151354A2 (zh) * 2022-12-01 2023-08-17 黄建邦 数据传输方法、***、第一端、中间网络设备及控制设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030096277A (ko) * 2001-03-16 2003-12-24 카바도, 인크. 어플리케이션층 보안 방법 및 시스템
KR20050026624A (ko) * 2003-09-09 2005-03-15 이상준 정책기반 네트워크를 이용한 피씨의 통합 보안시스템 및방법

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003019404A1 (en) 2001-08-30 2003-03-06 Riverhead Networks Inc. Protecting against distributed denial of service attacks
US20040162994A1 (en) * 2002-05-13 2004-08-19 Sandia National Laboratories Method and apparatus for configurable communication network defenses
US7463590B2 (en) 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response
US7664855B1 (en) * 2004-05-05 2010-02-16 Juniper Networks, Inc. Port scanning mitigation within a network through establishment of an a prior network connection
US7551620B1 (en) * 2004-12-15 2009-06-23 Orbital Data Corporation Protecting data integrity in an enhanced network connection
CN1917426B (zh) * 2005-08-17 2010-12-08 国际商业机器公司 端口扫描方法与设备及其检测方法与设备、端口扫描***
CN100471172C (zh) * 2006-03-04 2009-03-18 华为技术有限公司 一种黑名单实现的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030096277A (ko) * 2001-03-16 2003-12-24 카바도, 인크. 어플리케이션층 보안 방법 및 시스템
KR20050026624A (ko) * 2003-09-09 2005-03-15 이상준 정책기반 네트워크를 이용한 피씨의 통합 보안시스템 및방법

Also Published As

Publication number Publication date
ATE488945T1 (de) 2010-12-15
JP4517042B1 (ja) 2010-08-04
IL201726A (en) 2013-03-24
TWI436631B (zh) 2014-05-01
CA2672528A1 (en) 2008-10-30
BRPI0809841B1 (pt) 2021-03-09
US20080263666A1 (en) 2008-10-23
JP2010527527A (ja) 2010-08-12
CN101669347B (zh) 2013-03-20
MX2009011403A (es) 2009-11-05
DE602008003560D1 (de) 2010-12-30
IL201726A0 (en) 2010-06-16
BRPI0809841A2 (pt) 2014-09-23
US7962957B2 (en) 2011-06-14
TW200849926A (en) 2008-12-16
WO2008128941A1 (en) 2008-10-30
EP2140656A1 (en) 2010-01-06
CN101669347A (zh) 2010-03-10
EP2140656B1 (en) 2010-11-17
CA2672528C (en) 2013-06-25
KR20090115198A (ko) 2009-11-04

Similar Documents

Publication Publication Date Title
KR101054705B1 (ko) 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치
US7234161B1 (en) Method and apparatus for deflecting flooding attacks
US8181237B2 (en) Method for improving security of computer networks
US20070033645A1 (en) DNS based enforcement for confinement and detection of network malicious activities
US20050216954A1 (en) Preventing network reset denial of service attacks using embedded authentication information
US20120227088A1 (en) Method for authenticating communication traffic, communication system and protective apparatus
US20060156401A1 (en) Distributed traffic scanning through data stream security tagging
US20050144441A1 (en) Presence validation to assist in protecting against Denial of Service (DOS) attacks
WO2021082834A1 (zh) 报文处理方法、装置、设备及计算机可读存储介质
JP2005079706A (ja) ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
CN110266678B (zh) 安全攻击检测方法、装置、计算机设备及存储介质
Kavisankar et al. A mitigation model for TCP SYN flooding with IP spoofing
US20210112093A1 (en) Measuring address resolution protocol spoofing success
AU2005206754B2 (en) Preventing network reset denial of service attacks
CN112383559B (zh) 地址解析协议攻击的防护方法及装置
Pandey et al. Attacks & defense mechanisms for TCP/IP based protocols
RU2304302C2 (ru) Способ обработки сетевых пакетов для обнаружения компьютерных атак
Kavisankar et al. CNoA: Challenging Number Approach for uncovering TCP SYN flooding using SYN spoofing attack
US7860977B2 (en) Data communication system and method
Upadhyay et al. Security Flaw in TCP/IP and Proposed Measures
Kavisankar et al. T-RAP:(TCP reply acknowledgement packet) a resilient filtering model for DDoS attack with spoofed IP address
KR20180102884A (ko) 방화벽 및 이의 패킷 처리 방법
Bisen et al. Countermeasure tool-Carapace for Network Security
JP2008252221A (ja) DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置
Williams Risk Access Spots (RAS) Common to Communication Networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140725

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee