KR101394383B1 - 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템 및 그 방법 - Google Patents

Abstract

본 발명은 DDoS 방어를 위한 AS 내부 라우팅 배치 시스템 및 그 방법에 대한 것으로서, 보다 상세하게는 공격 위험도에 따라 정상 라우팅 모드, 준비 라우팅 모드, 보호 라우팅 모드의 3단계로 구성되며 Shield에서 하지 못했던 정밀한 단위의 우회와 차단을 제공할 수 있는 DDoS 방어를 위한 AS 내부 라우팅 배치 시스템 및 그 방법에 관한 것이다.
본 발명은 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템에 있어서, 3단계의 라우팅 모드에 따라 동작하는 내부라우터(sShield)로 구성되되, 상기 3단계의 라우팅 모드는 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode)이며, 평상시에는 상기 sShield가 동작하지 않고 sShield로 어떠한 트래픽도 지나가지 않는 정상적이고 안정적인 정상 라우팅 모드이고, 공격으로 의심되는 트래픽을 AS가 여러 경로를 통해 알아냈다면 준비 라우팅 모드로 전환하고 라우팅 경로를 sShield로 바꾸며, 실제 공격이 진행될 경우 보호 라우팅 모드로 전환하여 공격 트래픽을 차단하는 것을 특징으로 한다.

Description

디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템 및 그 방법{Router deploying system in the AS for DDoS Attack defense}

본 발명은 DDoS 방어를 위한 AS 내부 라우팅 배치 시스템 및 그 방법에 대한 것으로서, 보다 상세하게는 공격 위험도에 따라 정상 라우팅 모드, 준비 라우팅 모드, 보호 라우팅 모드의 3단계로 구성되며 Shield에서 하지 못했던 정밀한 단위의 우회와 차단을 제공할 수 있는 DDoS 방어를 위한 AS 내부 라우팅 배치 시스템 및 그 방법에 관한 것이다.

인터넷이 널리 퍼지고 서비스가 다양화 되면서 동시에 악의적인 사용자도 꾸준히 증가되고 있다. 또한 공격 방법도 더욱 지능화 되고 종류도 늘고 있다. 특히 DoS(Denial of Service)는 다른 공격의 증가율 보다 세배 이상 많이 증가하고 있다 . 이러한 DoS 공격의은 공격대상은 대상의 서비스를 정상적으로 받을 수 없도록 방해하는 방법으로 특히 네트워크의 자원(Bandwidth)을 소모하기 위한 공격 방법이 많다.

DoS와 DDoS(Distribute Denial of Service) 공격을 막기 위한 방법은 크게 공격 방지(Attack prevention), 공격 탐지(Attack detection), 공격 소스 인식(Attack source identification), 그리고 공격 반응(Attack reaction)의 네 가지 방법이 있다 . 이러한 유형의 공격 방지 기술은 DoS 미리 차단하고, 공격을 탐지하여 막고, 소스의 위치를 확인하여 대응하는 방법들이다.

현재의 DDoS는 많은 트래픽이 AS 외부에서부터 들어와 내부 네트워크를 공격하는 형태이다. 하지만 큰 AS의 경우 공격자에 의해 내부에서 만들어진 많은 좀비 PC들에 의하여 AS 내부 네트워크를 공격해 피해자가 발생 할 수 있으므로 대책이 필요하다 . 또 많은 방어 방법이 외부 트래픽이 유입되면 즉각 차단하므로 공격자 입장에서 지속적인 피해를 입히기 힘들다.

이러한 대응을 피하기 위해 공격자가 AS 내부에 많은 리플렉터나 좀비 머신을 확보하여 DDoS 공격을 수행하게 할 가능성이 높다. 만약 AS 내부에서 발생된 악의적인 트래픽으로 인하여 AS 내부 네트워크가 공격을 받는다면 네트워크 자원이 더욱더 빠르게 감소할 수 있고 피해가 더 커질 수 있다.

도1에서 보는 바와 같이 Shield는 어느 곳이나 설치 가능한 DoS 방어 시스템을 제안하고 있다. 그러나 실제 설치되는 위치는 AS 외부에 BGP(Border Gateway Protocol)를 이용하여 설계되어 있다.

Shield는 DDoS 공격을 방어하는 방법이 아니라 어디서 방어를 하느냐를 트래픽 우회 기술을 이용하여 설명하였다.

트래픽을 우회시키기 위해서는 기존에 사용하는 기술인 트래픽 트래핑(Traffic trapping)과 트래픽 블랙홀(Traffic black-holing)을 사용 하였다.

트래픽 트래핑과 트래픽 블랙홀은 Shield 노드로 방향을 전환하여 정당한 트래픽만 통과시키고 공격자가 보내는 트래픽은 Shield 노드에서 차단하는 개념이다.

만약 DDoS 공격이 의심스러운 트래픽이 있을 경우 AS는 BGP의 AS-PATH를 수정하여 전달함으로써 Shield 노드로 트래픽 방향을 바꾸게 된다. 실제 DDoS 공격이 발생하면 모든 트래픽을 Shield로 보내고 트래픽을 차단한다. 이러한 Shield를 설치하는 위치는 모든 IXP가 좋을 것이다. 모든 IXP에 설치하지 않는다면 공격이 다른 진입로로 우회할 수 있기 때문이다. 이 외에 Shield는 몇 가지 문제점을 가지고 있다.

첫 번째, Shield는 AS 외부밖에 사용할 수 없다. BGP를 이용하여 통제되는 외부와 달리 AS 내부는 라우터들 간에 테이블 교환에 의하여 라우팅이 동작하는 방식이기 때문이다.

두 번째, DDoS 공격 시 공격자가 보내는 트래픽은 차단하는 것이 맞지만 정상적인 패킷은 목적지까지 도착해야한다. 이를 위해 Shield는 경로가 도달할 수 있는 IP로 터널링을 하거나 소스 라우팅을 이용할 수밖에 없다. 이 방법으로 정상적인 트래픽을 목적지까지 보내게 되면 각 노드와 네트워크는 부하가 증가할 것이다.

세 번째, 공격이 자주 올 경우 잦은 AS-PATH의 수정으로 네트워크의 일관성이 약화되고 이를 악용한 공격자가 등장할 경우 Shield 자체가 하나의 네트워크 오버헤드의 원인이 될 수도 있다.

상술한 문제점을 해결하기 위하여 본 발명은 AS 내부에서 sShield들이 서로 협력하면서 AS 외부의 Shield와 함께 DDoS 공격에 대비하여, DDoS 공격의 감시와, 발견 그리고 트래픽 조절에 도움을 줄 수 있는 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템 및 그 방법을 제공하는 데 목적이 있다.

본 발명은 디도스 방어를 위한 AS내부 라우팅 배치 시스템에 있어서 디도스 방어를 위한 라우터인 sShield를 기존 라우터 사이에 구성 시키는 시스템이다.

라우터 A의 포트 S1과 라우터 B와 연결되는 3종류의 라우팅 모드에 따라 동작하는 sShield로 구성된다.

본 발명은 네트워크 A와 네트워크 B를 포함하는 디도스 방어를 위한 AS 내부 라우팅 배치 시스템에 있어서, 라우터A와 연결되는 S1과 라우터B와 연결되는 S2를 포함하고, 3 종류의 라우팅 모드에 따라 동작하는 내부라우터(sShield)로 구성된다.

상기 3 종류의 라우팅 모드는 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode)이다.

본 발명은 평상시에는 상기 내부라우터가 동작하지 않는 정상 라우팅 모드이고, 공격으로 의심되는 트래픽을 AS가 여러 경로를 통해 알아냈다면 준비 라우팅 모드로 전환하고 라우팅 경로를 sShield를 거치게 하여, 실제 공격이 진행될 경우 보호 라우팅 모드로 전환하여 공격 트래픽을 차단한다.

상기 준비 라우팅 모드는 AS가 판단할 때 여러 곳에서 수집된 정보를 근거로 DDoS 공격 피해지로 의심되는 네트워크가 있을 경우 동작하는 모드이다.

본 발명은 상기 AS가 네트워크 B에 대한 DDoS공격이 일어나고 있다는 것을 확인하게 되면 AS는 내부라우터에게 보호 라우팅 모드로 변환할 것을 지시하고 필터링 규칙에 맞는 패킷을 전부 내부라우터에서 차단하고, 차단한 트래픽을 제외한 정상적인 패킷들은 아무 수정 없이 내부라우터의 상기 S2를 통해 라우터 B를 거처 목적지에 도달한다.

본 발명은 인터넷 어떠한 위치에도 설치가 가능한 내부라우터를 통하여 3단계의 라우팅 모드에 따라 동작하는 단계로 구성된다.

본 발명은 평상시에는 상기 내부라우터가 동작하지 않고 상기 내부라우터로 어떠한 트래픽도 지나가지 않는 정상 라우팅 모드로 동작하는 단계와, 공격으로 의심되는 트래픽을 AS가 여러 경로를 통해 알아냈다면 준비 라우팅 모드로 전환하고 라우팅 경로를 내부라우터로 바꾸는 단계와, 실제 공격이 진행될 경우 보호 라우팅 모드로 전환하여 공격 트래픽을 차단하는 단계를 포함하여 구성된다.

상기 3단계의 라우팅 모드는 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode)이고, 상기 준비 라우팅 모드는 AS가 판단할 때 여러 곳에서 수집된 정보를 근거로 DDoS 공격 피해지로 의심되는 네트워크가 있을 경우 동작하는 단계이다.

상기 AS가 네트워크 B에 대한 DDoS공격이 일어나고 있다는 것을 확인하게 되면 AS는 내부라우터에게 보호 라우팅 모드로 변환할 것을 지시하고 필터링 규칙에 맞는 패킷을 전부 내부라우터에서 차단하는 단계와, 상기 차단한 트래픽을 제외한 정상적인 패킷들은 아무 수정 없이 내부라우터를 통해 목적지에 도달하는 단계를 포함하여 구성된다.

본 발명에서 제안한 시스템의 가장 큰 장점으로는 Shield와 함께 공격 방어 시스템의 설치 위치를 결정하는 방법을 제안하였고, 어떠한 위치에도 설치될 수 있는 구조이다.

또한 본 발명은 Shield와 협력한다면 인터넷 어떠한 위치에도 설치가 가능하다.

또한 본 발명에 따르면 Shield의 경우 터널링이나 소스 라우팅 같은 오버헤드가 많은 방법을 통해서만 정당한 트래픽을 전송할 수 있었지만 sShield는 RIP에 의해 차단하지 않은 트래픽은 목적지까지 도달 할 수 있다.

또한 본 발명에 따르면 Shield는 BGP의 한계로 인하여 정밀한 트래픽 조절이 불가능하다. 그러나 RIP의 테이블 업데이트를 이용한 sShield는 공격을 당하는 네트워크 단위로 경로를 우회하고 차단할 수 있어 정밀한 조절이 가능하다.

그리고 sShield를 제외한 기존 라우터들은 sShield의 존재를 몰라도 되고 라우터를 교체할 필요가 없어 네트워크의 일관성 유지에 도움을 준다.

또 논리적인 구조가 간단하므로 sShield의 설치 위치를 수시로 변경하여 공격에 방어 할 수 있다.

도1은 종래 발명에 따른 Shiled에서의 트래픽 우외와 차단을 보여주는 개념도.
도2는 본 발명의 일실시예에 따라 정상 라우팅 모드에서의 라우팅 테이블을 보여주는 도면.
도3은 본 발명의 일실시예에 따라 준비 라우팅 모드에서의 동작을 보여주는 도면.
도4는 본 발명의 일실시예에 따라 정상 라우팅 모드로 복귀를 보여주는 도면.

이하 본 발명의 실시를 위한 구체적인 내용을 도면을 참고하여 자세히 설명한다.

본 발명에서는 에이에스(자율 시스템, 이하 AS라 한다) 외부에서는 기존의 Shield를 구성하고 AS 내부는 RIP 프로토콜을 변형하여 동작하는 시스템으로 구성한다.

AS 내부에서 사용되는 방어 시스템을 AS외부의 Shield와 구별하기 위해 sShield(small Shield; 100)라고 정의 한다.

Shield와는 다르게 본 발명에서 제안한 sShield(100)는 AS 내부에 위치한다. 설치 위치는 기존의 라우들 사이에 설치하게 된다. 이미 설치되어 있는 라우터A(10)와 라우터B(20)가 있을 경우 라우터A(10)와도 연결되고 라우터B(20)와도 연결 된다. 그리고 sShield(100)도 하나의 라우터로 동작하게 된다.

sShield(100)는 3단계의 라우팅 모드에 따라 동작이 틀려진다. 3단계 모드는 DDoS 공격상황에 따라 변하며 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode) 이다.

평상시에 동작하는 정상 라우팅 모드는 sShield(100)가 동작하지 않고 sShield(100)로 어떠한 트래픽도 지나가지 않는 정상적이고 안정적인 상태이다.

그러나 공격으로 의심되는 트래픽을 AS가 여러 경로를 통해 알아냈다면 준비 라우팅 모드로 전환하고 라우팅 경로를 sShield(100)로 바꾼다. 그리고 실제 공격이 진행될 경우 보호 라우팅 모드로 전환하여 공격 트래픽을 차단한다.

도2에서 보는 바와 같이 정상 라우팅 모드는 어떠한 공격도 없고 공격 징후도 없는 정상적인 라우팅 모드이다. 라우터 A(10)와 라우터 B(20) 사이에 sShield(100)가 설치되었을 때의 모습이다. 각 라우터의 라우팅 테이블은 안정화 된 상태이다. 라우팅 테이블의 각 원소는 {Destination Network, Hop-Count, Next hop} 순서로 구성되어 있다.

도3에서 보는 바와 같이 준비 라우팅 모드는 AS가 판단할 때 여러 곳에서 수집된 정보를 근거로 DDoS 공격 피해지로 의심되는 네트워크가 있을 경우 동작하는 모드이다.

네트워크 B가 공격을 받고 있다고 의심될 경우 라우팅 테이블이 변경되는 그림이다. sShield(100)는 자신의 라우팅 테이블에서 네트워크 B로 향하는 필드의 내용을 DB에 저장하고 마크한다. 그리고 해당 필드의 홉 값(Hop count)을 n-2(n은 원래의 홉 값) 하여 기록 한 후 해당 필드의 next-hop위치를 제외한 다른 방향(s1)에 트리거 업데이트(Triggered update)를 이용하여 즉시 라우팅 테이블을 보내서 테이블을 변경하도록 한다. 네트워크 B로 향하는 홉 값을 줄였기 때문에 라우터 A(10)의 라우팅 테이블은 바뀌고 네트워크 B로 보내는 트래픽은 전부 A1을 통해 sShield(100)로 가게 된다.

AS가 네트워크 B에 대한 DDoS공격이 일어나고 있다는 것을 확인하게 되면 AS는 sShield(100)에게 보호 라우팅 모드로 변환할 것을 지시하고 필터링 규칙에 맞는 패킷을 전부 sShield(100)에서 차단한다. 차단한 트래픽을 제외한 정상적인 패킷들은 아무 수정 없이 sShield(100)의 S2를 통해 라우터B(20)를 거처 목적지에 도달한다.

DDoS의 공격이 끝났다고 판단되면 sShield(100)는 준비 라우팅 모드로 복귀하게 된다. 여기서는 혹시 다시 공격이 올지도 모르는 상황을 대비하게 된다.

도4에서 보는 바와 같이 준비 라우팅 모드에서 일정시간 동안 의심스러운 트래픽이 없을 경우 다시 정상 라우팅 모드로 변경하여야 한다. 이 때 원래 라우팅 테이블로 바꿔줘야 하는데 이 과정을 설명하고 있다.

sShield(100)는 DB에 저장되어 있던 네트워크 B에 대한 홉 값을 원래대로 복구한다. 그 후에는 정기적인 라우팅 업데이트 메시지 교환에 의하여 라우터 A의 라우팅 테이블이 정상적인 경로로 변경된다.

이하 본 발명에 따른 네트워크 A와 B를 포함하는 디도스 방어를 위한 AS 내부 라우팅 배치 방법에 대하여 자세히 설명한다.

본 발명은 인터넷 어떠한 위치에도 설치가 가능한 내부라우터를 통하여 3단계의 라우팅 모드에 따라 동작하는 단계로 구성된다.

상술한 바와 같이 본 발명은 평상시에는 상기 내부라우터가 동작하지 않고 상기 내부라우터로 어떠한 트래픽도 지나가지 않는 정상 라우팅 모드로 동작하는 단계와, 공격으로 의심되는 트래픽을 AS가 여러 경로를 통해 알아냈다면 준비 라우팅 모드로 전환하고 라우팅 경로를 내부라우터로 바꾸는 단계와, 실제 공격이 진행될 경우 보호 라우팅 모드로 전환하여 공격 트래픽을 차단하는 단계를 포함하여 구성된다.

본 발명에 따른 상기 3단계의 라우팅 모드는 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode)이고, 상기 준비 라우팅 모드는 AS가 판단할 때 여러 곳에서 수집된 정보를 근거로 DDoS 공격 피해지로 의심되는 네트워크가 있을 경우 동작하는 단계이다.

여기에서 상기 AS가 네트워크 B에 대한 DDoS공격이 일어나고 있다는 것을 확인하게 되면 AS는 내부라우터에게 보호 라우팅 모드로 변환할 것을 지시하고 필터링 규칙에 맞는 패킷을 전부 내부라우터에서 차단하는 단계와, 상기 차단한 트래픽을 제외한 정상적인 패킷들은 아무 수정 없이 내부라우터를 통해 목적지에 도달하는 단계를 포함하여 구성된다.

기존의 DDoS 공격에 대한 방어 시스템과 다르게 어디에 방어 시스템을 설치해야하는지에 대한 문제를 다루고 있다. 이 문제를 처음 제기한 Shield는 AS 외부에 설치할 수밖에 없었지만 AS 내부에서 동작하는 RIP의 라우팅 업데이트를 이용하여 경로를 우회시키고 차단하는 sShield 시스템을 설계하였다. sShield는 공격 위험도에 따라 정상 라우팅 모드, 준비 라우팅 모드, 보호 라우팅 모드의 3단계로 구성되며 Shield에서 하지 못했던 정밀한 단위의 우회와 차단을 제공할 수 있게 되었다. AS 내부에서는 sShield들이 서로 협력하면서 AS 외부의 Shield와 함께 DDoS 공격에 대비한다면 DDoS 공격의 감시와, 발견 그리고 트래픽 조절에 도움을 줄 수 있을 것이다.

10 : 라우터A
20 : 라우터B
100 : 내부라우터(sShield)

Claims (10)

1. 네트워크 A와 네트워크 B를 포함하는 디도스 방어를 위한 AS 내부 라우팅 배치 시스템에 있어서,
   라우터A와 연결되는 S1과 라우터B와 연결되는 S2를 포함하고, 3 종류의 라우팅 모드에 따라 동작하는 내부라우터(sShield);로 구성되되,
   상기 3 종류의 라우팅 모드는 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode)이고,
   평상시에는 상기 내부라우터가 동작하지 않는 상기 정상 라우팅 모드이고,
   공격으로 의심되는 트래픽을 AS가 인식했다면 준비 라우팅 모드로 전환하고 라우팅 경로를 sShield를 거치게 하여, 실제 공격이 진행될 경우 상기 보호 라우팅 모드로 전환하여 공격 트래픽을 차단하며,
   상기 준비 라우팅 모드는 AS가 판단할 때 DDoS 공격 피해지로 의심되는 네트워크가 있을 경우 동작하는 모드이고,
   상기 AS가 네트워크 B에 대한 DDoS공격이 일어나고 있다는 것을 확인하게 되면 AS는 내부라우터에게 보호 라우팅 모드로 변환할 것을 지시하고 필터링 규칙에 맞는 패킷을 전부 내부라우터에서 차단하고, 차단한 트래픽을 제외한 정상적인 패킷들은 아무 수정 없이 내부라우터의 상기 S2를 통해 라우터 B를 거처 목적지에 도달하는 것을 특징으로 하는 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템.
2. 삭제
3. 삭제
4. 삭제
5. 삭제
6. 네트워크 A와 B를 포함하는 디도스 방어를 위한 AS 내부 라우팅 배치 방법에 있어서,
   인터넷 어떠한 위치에도 설치가 가능한 내부라우터를 통하여 3단계의 라우팅 모드에 따라 동작하는 단계;
   평상시에는 상기 내부라우터가 동작하지 않고 상기 내부라우터로 어떠한 트래픽도 지나가지 않는 정상 라우팅 모드로 동작하는 단계;
   공격으로 의심되는 트래픽을 AS가 인식했다면 준비 라우팅 모드로 전환하고 라우팅 경로를 내부라우터로 바꾸는 단계;
   실제 공격이 진행될 경우 보호 라우팅 모드로 전환하여 공격 트래픽을 차단하는 단계;
   상기 AS가 네트워크 B에 대한 DDoS공격이 일어나고 있다는 것을 확인하게 되면 AS는 내부라우터에게 보호 라우팅 모드로 변환할 것을 지시하고 필터링 규칙에 맞는 패킷을 전부 내부라우터에서 차단하는 단계;
   상기 차단한 트래픽을 제외한 정상적인 패킷들은 아무 수정 없이 내부라우터를 통해 목적지에 도달하는 단계;로 구성되되,
   상기 3단계의 라우팅 모드는 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode)이고,
   상기 준비 라우팅 모드는 AS가 판단할 때 DDoS 공격 피해지로 의심되는 네트워크가 있을 경우 동작하는 단계인 것을 특징으로 하는 디도스 방어를 위한 에이에스 내부 라우팅 배치 방법.
   
7. 삭제
8. 삭제
9. 삭제
10. 삭제

Images