KR101622876B1 - 사이트 접속 차단 방법 및 장치 - Google Patents

사이트 접속 차단 방법 및 장치 Download PDF

Info

Publication number
KR101622876B1
KR101622876B1 KR1020150048538A KR20150048538A KR101622876B1 KR 101622876 B1 KR101622876 B1 KR 101622876B1 KR 1020150048538 A KR1020150048538 A KR 1020150048538A KR 20150048538 A KR20150048538 A KR 20150048538A KR 101622876 B1 KR101622876 B1 KR 101622876B1
Authority
KR
South Korea
Prior art keywords
site
dns
address
list
dns response
Prior art date
Application number
KR1020150048538A
Other languages
English (en)
Inventor
박동훈
구자진
양승용
이래욱
강경준
Original Assignee
닉스테크 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 닉스테크 주식회사 filed Critical 닉스테크 주식회사
Priority to KR1020150048538A priority Critical patent/KR101622876B1/ko
Application granted granted Critical
Publication of KR101622876B1 publication Critical patent/KR101622876B1/ko

Links

Images

Classifications

    • H04L67/20
    • H04L61/1511
    • H04L67/16

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

실시예에 따른 네트워크 장치에서의 사이트 접속 차단 방법은, 사용자 단말로부터 수신한 입력 사이트 주소를 포함하는 DNS 질의를 DNS 서버에 전달하는 단계, 상기 DNS 서버로부터 상기 DNS 질의에 대응하는 DNS 응답을 수신하는 단계, 상기 DNS 응답을 파싱하여 DNS 응답 사이트 주소를 추출하는 단계, 상기 추출된 DNS 응답 사이트 주소가 차단 대상 목록에 포함된 것인지 여부를 목록 서버에 질의하는 단계 및 상기 목록 서버로부터 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었다는 응답을 수신했는지 여부에 따라 상기 사용자 단말에 상기 DNS 질의에 대응하는 DNS 응답을 전달할 지 여부를 결정하는 단계를 포함할 수 있다.

Description

사이트 접속 차단 방법 및 장치{APPARATUS AND METHOD FOR BLOCKING ACCESS TO UNALLOWABLE SITE}
아래 실시예들은 DNS(Domain Name System)를 이용한 차단 대상 사이트 접속 차단 방법 및 장치에 관한 것으로, 더욱 상세하게는 DNS 질의(query) 응답 감시를 통해 네트워크 장치에서 해당 사이트의 접속 차단을 질의하고 차단 대상 사이트로의 접속을 차단하는 기술에 관한 것이다.
인터넷 기술이 급속한 속도로 발전하면서, 개인과 기업들의 경제활동에서 전자 메일, 파일 전송 등과 간단한 일반 업무의 처리, 전자 결제, 웹 서버를 통한 기업 광고, 전자상거래에 이르기까지 일상 생활의 전반적인 영역에 걸쳐 인터넷이 활용되고 있다.
한편, 인터넷 이용이 일반화되면서 이로 인한 부작용도 급증하고 있다. 예를 들면, 청소년들의 인터넷 사용이 급증하면서 청소년들이 유해 사이트(성인 사이트나 오락 사이트 등)에 의도적으로 접근하여 유해 정보에 노출되거나, 청소년들이 특정 사이트에 접속하는 과정에서 유해 사이트가 자동으로 링크되어 유해 사이트로부터 제공되는 유해 정보에 노출되는 경우가 빈번하게 발생한다.
이외에도, 사업장 또는 기업체에서는 직원들이 인터넷 접속이 용이한 환경하에 있기 때문에, 수시로 업무와는 무관한 사이트에 접속함으로써 업무효율을 저하시키는 경우도 빈번하게 발생한다.
이러한 문제점에 의해, 인터넷 사이트 중 차단 대상 사이트(피싱/좀비 사이트/비정상적인 운영사이트/오락 사이트 등)에 대한 접속을 차단하기 위해, 여러 가지 방식의 인터넷 접속 차단 서비스가 제공되고 있다.
그러나, 종래의 인터넷 접속 차단 서비스는 다음과 같은 문제점들이 발생할 수 있다.
첫 번째로, 사용자의 PC에 차단 목록을 만들어 저장하고 사이트에 접속 시마다 해당 목록과 대조하여 판정하는 방법이 있다.
이 방법은 차단 대상 사이트 목록의 양이 많은 경우, 사용자 PC의 메모리를 많이 차지하게 되어 사용자 PC에 부하가 심해지게 된다. 또한, 차단 대상 사이트는 하루에도 수없이 많이 생겨나고 없어지므로, 차단 대상 사이트 목록을 항상 최신의 것으로 유지하기 위해 수시로 업데이트가 필요하며, 따라서 관리 및 적용이 어려워지게 된다.
그리고, 이 방법은 사이트 접속 차단을 위해서 사용자 PC에 접속 차단 프로그램의 설치가 요구된다. 이는 해당 프로그램을 삭제할 시에는 접속 차단 서비스를 제공할 수 없으며, 다양한 클라이언트 환경에 따라 적용이 불가능할 수도 있다.
두 번째로, 트래픽 차단이 가능한 네트워크 장치를 이용하는 방법이 있다.
이 방법은 차단 대상 사이트에 대한 생성, 변경, 소멸에 따른 변화를 네트워크 장치에서 직접 관리하는데 많은 시간이 필요하다. 또한, 네트워크 상의 모든 트래픽을 감시하면서, 그 속에 포함된 정보를 찾아서 차단하는 방식이므로, 시스템의 성능 저하가 유발된다.
실시예들에 따르면, 네트워크 장비 측에 과도한 부하를 주지 않고 차단 대상 사이트를 판단하여 사이트 접속 차단 서비스를 제공할 수 있다.
또 실시예들에 따르면, 망 내 사용자가 별도의 프로그램이나 차단 대상 사이트 목록의 설치 없이, 특정 서버에서 차단 대상 사이트 목록을 관리할 수 있어 관리자의 차단 대상 사이트 목록의 관리를 용이하게 할 수 있다.
또 실시예들에 따르면, 도메인 네임을 기준으로 사이트 접속의 차단 여부 또는 허용 여부를 결정함으로써, 복수의 IP 주소를 갖는 사이트에 대한 서비스 관리를 용이하게 할 수 있다.
일실시예에 따르면, 네트워크 장치에서의 사이트 접속 차단 방법이 제공된다. 사이트 접속 차단 방법은, 사용자 단말로부터 수신한 입력 사이트 주소를 포함하는 DNS 질의를 DNS 서버에 전달하는 단계, 상기 DNS 서버로부터 상기 DNS 질의에 대응하는 DNS 응답을 수신하는 단계, 상기 DNS 응답을 파싱하여 DNS 응답 사이트 주소를 추출하는 단계, 상기 추출된 DNS 응답 사이트 주소가 차단 대상 목록에 포함된 것인지 여부를 목록 서버에 질의하는 단계 및 상기 목록 서버로부터 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었다는 응답을 수신했는지 여부에 따라 상기 사용자 단말에 상기 DNS 질의에 대응하는 DNS 응답을 전달할 지 여부를 결정하는 단계를 포함할 수 있다.
일 측에 따르면, 상기 결정하는 단계는, 상기 목록 서버로부터 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었다는 응답을 수신한 경우, 상기 사용자 단말에 상기 DNS 질의에 대응하는 DNS 응답의 전달을 제한하는 단계 또는 상기 목록 서버로부터 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않았다는 응답을 수신한 경우, 상기 사용자 단말에 상기 DNS 질의에 대응하는 DNS 응답을 전달하는 단계를 포함할 수 있다.
다른 일 측에 따르면, 상기 수신하는 단계는, 상기 입력 사이트 주소에 대응하는 DNS 응답 사이트 주소 및 IP 주소를 포함하는 DNS 응답을 수신할 수 있다.
일실시예에 따르면, 목록 서버에서의 사이트 접속 차단 방법이 제공될 수 있다. 사이트 접속 차단 방법은, 네트워크 장치로부터 DNS 응답 사이트 주소가 차단 대상 목록에 포함된 것인지에 대한 질의를 수신하는 단계, 상기 수신된 질의에 기초하여 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함된 것인지를 판단하는 단계 및 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었는지 여부를 나타내는 응답을 네트워크 장치에 전달하는 단계를 포함할 수 있다. 여기서, 상기 DNS 응답 사이트 주소는, 상기 네트워크 장치가 DNS 질의에 대응하는 DNS 응답을 파싱함으로써 추출되는 사이트 주소일 수 있다.
일 측에 따르면, 상기 DNS 질의는, 사용자 단말에 의해 입력된 입력 사이트 주소를 포함할 수 있다.
이때, 상기 DNS 응답은, 상기 입력 사이트 주소에 대응하는 DNS 응답 사이트 주소 및 IP 주소를 포함할 수 있다.
다른 일 측에 따르면, 상기 전달하는 단계는, 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함된 경우, 상기 네트워크 장치에 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었다는 응답을 전달하는 단계 또는 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않은 경우, 상기 네트워크 장치에 상기 DNS 응답에 포함된 IP 주소를 전달하는 단계를 포함할 수 있다.
일실시예에 따르면, 네트워크 장치에서의 사이트 접속 차단 방법은, 사용자 단말로부터 수신한 사이트 접속 요청 패킷이 DNS 질의 패킷인지 여부에 따라 DNS 질의 패킷을 DNS 서버에 전달할 지 여부를 결정하는 단계, DNS 서버로부터 DNS 질의 패킷에 대응하는 DNS 응답을 수신하는 단계, DNS 응답을 파싱하여 DNS 응답 사이트 주소를 추출하는 단계, 추출된 DNS 응답 사이트 주소가 차단 대상 목록에 포함된 것인지 여부를 목록 서버에 질의하는 단계 및 목록 서버로부터 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었다는 응답을 수신했는지 여부에 따라 사용자 단말에 DNS 질의에 대응하는 DNS 응답을 전달할 지 여부를 결정하는 단계를 포함할 수 있다.
이때, DNS 질의 패킷을 DNS 서버에 전달할 지 여부를 결정하는 단계는, 사용자 단말로부터 수신한 사이트 접속 요청 패킷이 DNS 질의 패킷인 경우, DNS 질의 패킷을 DNS 서버에 전달하는 단계 또는 사용자 단말로부터 수신한 사이트 접속 요청 패킷이 DNS 질의 패킷이 아닌 경우, 사이트 접속 요청 패킷에 대응하는 사이트로의 접속을 허용하는 단계를 포함할 수 있다.
실시예들에 따르면, 목록 서버에서 차단 또는 허용 대상 사이트 여부를 판단하여, 사용자 단말 혹은 네트워크 장치의 부하를 줄일 수 있다.
실시예들에 따르면, 별도의 목록 서버를 이용함으로써 관리자의 차단 또는 허용 대상 사이트 목록 관리가 용이하게 될 수 있다.
실시예들에 따르면, DNS 응답을 수신하면서 실시간으로 사이트 접속의 차단 또는 허용 여부를 결정할 수 있다.
실시예들에 따르면, 도메인 네임을 기준으로 사이트 접속의 차단 여부 또는 허용 여부를 결정함으로써, 복수의 IP 주소를 갖는 사이트에 대한 서비스 관리가 용이하다.
도 1a는 일실시예에 따른 사이트 접속 차단 시스템의 전체 구성도를 설명하기 위한 도면이다.
도 1b는 다른 일실시예에 따른 사이트 접속 차단 시스템의 전체 구성도를 설명하기 위한 도면이다.
도 2는 일실시예에 따른 사이트 접속 차단 시스템에서의 각 단계를 설명하기 위한 도면이다.
도 3은 일실시예에 따른 사이트 접속 차단 방법을 설명하기 위한 흐름도이다.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1a는 일실시예에 따른 사이트 접속 차단 시스템의 전체 구성도를 설명하기 위한 도면이다.
도 1a를 참조하면, 일실시예에 따른 사이트 접속 차단 시스템(100)은, 사용자 단말(110), 네트워크 장치(120), 목록 서버(130) 및 DNS 서버(140)를 포함할 수 있다.
여기서 네트워크 환경에서 사용자 단말(110)은 인터넷에 접속하기 위해 네트워크 장치(120)에 연결될 수 있다. 이때, 사용자 단말(110)은 사용자가 인터넷에 접속을 요청하기 위해 사용하는 단말로, 예를 들면 컴퓨터, 스마트 폰, 스마트 패드 등을 포함할 수 있다. 사용자는 사용자 단말의 브라우저에 사이트 주소를 입력하여 해당 사이트로의 접속을 요청할 수 있다.
사용자가 사용자 단말에 입력하는 사이트 주소는 실제 접속 사이트의 도메인 네임과 다를 수 있다. 예를 들면, 사이트 운영자가 하나의 서버를 가지고 있으면서, 복수의 사이트 주소를 가지고 있을 수 있다. 즉, 사용자가 입력하는 입력 사이트 주소와 실제 사이트의 사이트 주소는 다를 수 있다. 따라서, 사용자가 입력하는 입력 사이트 주소를 기준으로 차단 대상 사이트 목록을 작성할 경우, 실제 사이트 주소와 다른 입력 사이트 주소를 통해서 차단 대상 사이트에 접속할 수 있다.
일실시예에 따르면, 입력 사이트 주소를 통해서 사이트 접속을 차단하지 않고, DNS 질의에 대응하는 DNS 응답에서의 사이트 주소 즉, DNS 응답 사이트 주소를 기준으로 차단 대상 사이트 여부를 판단할 수 있다. 예를 들면, DNS 응답에서 도메인 네임을 추출하여 도메인 네임이 차단 대상 목록에 포함되는지 여부를 판단할 수 있다.
또, 하나의 사이트 주소에 대응하는 복수의 IP 주소가 존재할 수 있다. 예를 들면, 사이트 운영자가 유동 IP를 사용하는 경우, 해당 사이트는 복수의 IP 주소를 가지고 있을 수 있다. 즉, 사이트 주소에 대응하는 IP 주소는 접속 시마다 변경될 수 있다. 따라서, IP 주소를 기준으로 차단 대상 사이트 목록을 작성할 경우, IP 주소가 변경될 때마다 차단 대상 사이트 목록을 재 작성해주어야 한다. 일실시예에 따르면, DNS 응답의 사이트 주소를 기반으로 차단 대상 사이트 목록을 작성할 수 있다.
일실시예에 따르면, 사이트 주소는 URL(uniform resource locator)을 포함할 수 있다. 여기서 URL은, 프로토콜, 서버 사이트 주소(예를 들면, 도메인 네임) 및 파일명을 포함할 수 있다. 예를 들면, URL은 http://www.abc.com/aboutabc/index.html이 될 수 있다. 여기서 http는 통신 프로토콜을 의미하고, abc.com이 도메인 이름, aboutabc는 디렉터리, index가 파일명, html은 파일 형식이 될 수 있다.
사용자 단말(110)은, 인터넷 사이트에 접속하기 위하여 접속하고자 하는 사이트 주소(예를 들면, url 또는 IP 주소)를 입력할 수 있다. 만약 사용자가 URL을 입력하여 인터넷 사이트에 접속하고자 하는 경우, 사용자 단말은 DNS 질의 패킷을 DNS 서버(140)에 전송하여 사이트 주소에 대응하는 IP 주소를 요청할 수 있다.
네트워크 장치(120)는 사용자 단말(110)이 인터넷에 접속할 수 있도록 연결해주는 장치로, 예를 들면, 브리지 또는 라우터를 포함할 수 있다.
일실시예에 따르면, 네트워크 장치(120)는 사용자 단말(110)로부터 수신한 입력 사이트 주소를 포함하는 DNS 질의 패킷을 DNS 서버(140)에 전달할 수 있다. 사용자 단말(110)이 내부 네트워크에서 외부 인터넷 서버에 접속하기 위해서는 네트워크 장치(120)를 통해야만 한다. 따라서, 사용자 단말(110)이 DNS 질의 패킷을 송신하면, 네트워크 장치(120)는 사용자 단말(110)에 의해 입력된, 입력 사이트 주소를 포함하는 DNS 질의 패킷을 DNS 서버(140)에 전달할 수 있다.
일실시예에 따르면, 네트워크 장치(120)는 사용자 단말(110)로부터 수신한 사이트 접속 요청 패킷이 DNS 질의 패킷인지 여부에 따라 DNS 질의 패킷을 DNS 서버(140)에 전달할 지 여부를 결정할 수 있다.
만약, 사용자 단말(110)로부터 전송된 사이트 접속 요청 패킷이 DNS 서버(140)에 대한 DNS 질의 패킷이 아닌 경우, 네트워크 장치(120)는 사용자 단말(110)의 해당 사이트로의 접속을 허용할 수 있다. 예를 들면, 사용자 단말(110)로부터 수신된 사이트 접속 요청 패킷이 내부 인트라넷 사이트 접속 요청 정보인 경우, 네트워크 장치(120)는 DNS 서버에 대한 질의 패킷이 아닌 것으로 판단하여 해당 인트라넷 사이트로의 접속을 허용할 수 있다.
만약, 사용자 단말(110)로부터 전송된 사이트 접속 요청 패킷이 DNS 서버(140)에 대한 DNS 질의 패킷인 경우, 네트워크 장치(120)는 DNS 서버(140)로 DNS 질의 패킷을 전달할 수 있다. 여기서 DNS 질의 패킷은, 사용자가 사용자 단말(110)에 입력한 입력 사이트 주소에 대응하는 실제 사이트 주소 및 IP 주소를 질의하는 패킷을 포함할 수 있다.
일실시예에 따르면, 네트워크 장치(120)는 DNS 서버(140)로부터 입력 사이트 주소에 대응하는 DNS 응답 사이트 주소 및 IP 주소를 포함하는 DNS 응답을 수신할 수 있다.
여기서 DNS 응답은, 사용자가 사용자 단말(110)에 입력한 입력 사이트 주소에 대응하는 실제 사이트 주소 및 IP 주소를 포함할 수 있다. 이때, DNS 응답에 포함된 실제 사이트 주소를 DNS 응답 사이트 주소라고 할 수 있다.
일실시예에 따른 네트워크 장치(120)는 DNS 응답을 파싱하여 DNS 응답 사이트 주소를 추출할 수 있다. 여기서, DNS 응답은 사용자 단말(110)에 입력된 입력 사이트 주소에 대응하는 실제 인터넷 사이트 주소인 DNS 응답 사이트 주소 및 IP 주소를 포함할 수 있다. DNS 응답 사이트 주소는 입력 사이트 주소와 동일할 수도 있고, 다를 수도 있다. 예를 들면, 사용자 단말(110)에 입력된 입력 사이트 주소가 www.claudeglam.com인 경우, DNS 서버(140)에서 응답된 DNS 응답 사이트 주소는 http://lovubbletag.com/이 될 수 있다.
일실시예에 따른 네트워크 장치(120)는 추출된 DNS 응답 사이트 주소가 차단 대상 목록에 포함된 것인지 여부를 목록 서버(130)에 질의할 수 있다.
일실시예에 따른 목록 서버(130)는 차단 대상 목록을 포함할 수 있다. 이때, 네트워크 장치(120)는 목록 서버에 추출된 DNS 응답 사이트 주소를 전달하여, 차단 대상 목록에 추출된 DNS 응답 사이트 주소가 포함되었는지 여부를 질의할 수 있다.
일실시예에 따른 네트워크 장치(120)는 목록 서버(130)로부터 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었다는 응답을 수신했는지 여부에 따라 사용자 단말(110)에 DNS 질의에 대응하는 DNS 응답을 전달할 지 여부를 결정할 수 있다.
이때, 네트워크 장치(120)는 목록 서버(130)로부터 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었다는 응답을 수신한 경우, 사용자 단말(110)에 DNS 질의에 대응하는 DNS 응답의 전달을 제한할 수 있다. DNS 응답을 수신하지 못한 사용자 단말(110)은 해당 인터넷 사이트의 IP 주소를 알 수 없으므로, 해당 인터넷 사이트의 접속이 제한된다.
또, 네트워크 장치(120)는 목록 서버(130)로부터 DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않았다는 응답을 수신한 경우, 사용자 단말(110)에 DNS 질의에 대응하는 DNS 응답을 전달할 수 있다. 사용자 단말(110)은 DNS 응답에 포함된 IP 주소를 통해서 접속하고자 하는 인터넷 사이트에 접속할 수 있다.
다른 일실시예에 따른 네트워크 장치(120)는 추출된 DNS 응답 사이트 주소가 접속 허용 대상 목록에 포함된 것인지 여부를 목록 서버(130)에 질의할 수 있다.
일실시예에 따른 목록 서버(130)는 접속 허용 대상 목록을 포함할 수 있다. 이때, 네트워크 장치(120)는 목록 서버에 추출된 DNS 응답 사이트 주소를 전달하여, 접속 허용 대상 목록에 추출된 DNS 응답 사이트 주소가 포함되었는지 여부를 질의할 수 있다.
일실시예에 따른 네트워크 장치(120)는 목록 서버(130)로부터 DNS 응답 사이트 주소가 접속 허용 대상 목록에 포함되었다는 응답을 수신했는지 여부에 따라 사용자 단말(110)에 DNS 질의에 대응하는 DNS 응답을 전달할 지 여부를 결정할 수 있다.
이때, 네트워크 장치(120)는 목록 서버(130)로부터 상기 DNS 응답 사이트 주소가 접속 허용 대상 목록에 포함되었다는 응답을 수신한 경우, 사용자 단말(110)에 DNS 질의에 대응하는 DNS 응답을 전달할 수 있다. 사용자 단말(110)은 DNS 응답에 포함된 IP 주소를 통해서 접속하고자 하는 인터넷 사이트에 접속할 수 있다.
또, 네트워크 장치(120)는 목록 서버(130)로부터 DNS 응답 사이트 주소가 접속 허용 대상 목록에 포함되지 않았다는 응답을 수신한 경우, 사용자 단말(110)에 DNS 질의에 대응하는 DNS 응답의 전달을 제한할 수 있다. DNS 응답을 수신하지 못한 사용자 단말(110)은 해당 인터넷 사이트의 IP 주소를 알 수 없으므로, 해당 인터넷 사이트의 접속이 제한된다.
일실시예에 따른 목록 서버(130)는 네트워크 장치(120)의 요청에 따라 사용자 단말이 접속하고자 하는 사이트가 접속 차단 대상 사이트 또는 접속 허용 대상 사이트에 해당하는지 여부를 판단할 수 있다. 즉, 목록 서버(130)는 네트워크 장치(120)로부터 수신된 질의에 기초하여 DNS 응답 사이트 주소가 차단 대상 목록 또는 접속 허용 대상 목록에 포함된 것인지를 판단할 수 있다.
일실시예에 따르면, 목록 서버는 접속 차단 대상 사이트 또는 접속 허용 대상 사이트의 사이트 주소를 포함할 수 있다. 예를 들면, 목록 서버는 접속 차단 대상 사이트 또는 접속 허용 대상 사이트의 도메인 네임을 포함할 수 있다. 또 다른 예를 들면, 목록 서버는 접속 차단 대상 사이트 또는 접속 허용 대상 사이트의 도메인 네임과 IP 주소의 매칭 값을 포함할 수 있다.
이때, 네트워크 장치와 별개의 목록 서버에서 해당 사이트의 차단 여부 혹은 접속 허용 여부를 판단하도록 함으로써, 사용자 단말 또는 네트워크 장치 측의 부하를 줄일 수 있다. 또, 목록 서버만 별도로 관리할 수 있으므로, 사용자 단말과 네트워크 장치에서 차단 대상 목록 또는 접속 허용 대상 목록을 일일이 관리해줘야 하는 불편함을 해소할 수 있다.
일실시예에 따른 목록 서버(130)는 네트워크 장치(120)로부터 DNS 응답 사이트 주소가 차단 대상 목록 또는 접속 허용 대상 목록에 포함된 것인지에 대한 질의를 수신할 수 있다. 이때, DNS 응답 사이트 주소는, 네트워크 장치(120)가 DNS 질의에 대응하는 DNS 응답을 파싱함으로써 추출되는 사이트 주소가 될 수 있다. 여기서 DNS 질의는 사용자 단말(110)에 의해 입력된 입력 사이트 주소를 포함할 수 있다. 여기서 DNS 응답은, 입력 사이트 주소에 대응하는 DNS 응답 사이트 주소 및 IP 주소를 포함할 수 있다.
일실시예에 따른 목록 서버(130)는 사용자에 의해 미리 입력된 차단 대상 사이트의 집합인 차단 대상 목록을 포함할 수 있다. 예를 들면, 차단 대상 목록은 유해 사이트, 오락 사이트, 쇼핑 사이트 등의 사이트 주소 및 IP 주소를 포함할 수 있다. 목록 서버(130)는 사용자 단말(110)로부터 수신한 DNS 응답 사이트 주소가 차단 대상 목록의 사이트 주소에 매칭되는지 여부를 판단할 수 있다.
다른 일실시예에 따른 목록 서버(130)는 사용자에 의해 미리 입력된 접속 허용 대상 사이트의 집합인 접속 허용 대상 목록을 포함할 수 있다. 예를 들면, 접속 허용 대상 목록은 업무 관련 사이트, 검색 포털 사이트 등의 사이트 주소 및 IP 주소를 포함할 수 있다. 목록 서버(130)는 사용자 단말(110)로부터 수신한 DNS 응답 사이트 주소가 접속 허용 대상 목록의 사이트 주소에 매칭되는지 여부를 판단할 수 있다.
목록 서버(130)는 복수 개의 네트워크 장치에 연결되어 차단 대상 목록 또는 접속 허용 대상 목록에 해당 여부를 회신할 수 있다. 따라서, 하나의 목록 서버(130)를 관리함으로써 다수의 사용자 단말에 접속 차단 서비스(블랙리스트 방식) 또는 접속 허용 서비스(화이트리스트 방식)를 제공할 수 있다.
목록 서버(130)는 DNS 응답 사이트 주소가 차단 대상 목록 또는 접속 허용 대상 목록에 포함되었는지 여부를 나타내는 응답을 네트워크 장치(120)에 전달할 수 있다.
만약, DNS 응답 사이트 주소가 차단 대상 목록에 포함된 경우, 목록 서버는 네트워크 장치(120)에 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었음을 회신할 수 있다. 목록 서버(130)로부터 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었음을 회신한 경우, 네트워크 장치(120)는 사용자 단말(110)에 DNS 응답 사이트 주소가 차단 대상 사이트에 해당한다는 응답을 전달할 수 있다.
또, DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않은 경우, 목록 서버(130)는 네트워크 장치(120)에 DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않았음을 회신할 수 있다. 목록 서버(130)로부터 DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않았음을 회신한 경우, 네트워크 장치(120)는 사용자 단말(110)에 DNS 응답에 포함된 IP 주소를 전달할 수 있다.
만약, DNS 응답 사이트 주소가 접속 허용 대상 목록에 포함된 경우, 목록 서버는 네트워크 장치(120)에 DNS 응답 사이트 주소가 접속 허용 대상 목록에 포함되었음을 회신할 수 있다. 목록 서버(130)로부터 DNS 응답 사이트 주소가 접속 허용 대상 목록에 포함되었음을 회신한 경우, 네트워크 장치(120)는 사용자 단말(110)에 DNS 응답에 포함된 IP 주소를 전달할 수 있다.
또, DNS 응답 사이트 주소가 접속 허용 대상 목록에 포함되지 않은 경우, 목록 서버(130)는 네트워크 장치(120)에 DNS 응답 사이트 주소가 접속 허용 대상 목록에 포함되지 않았음을 회신할 수 있다. 목록 서버(130)로부터 DNS 응답 사이트 주소가 접속 허용 대상 목록에 포함되지 않았음을 회신한 경우, 네트워크 장치(120)는 사용자 단말(110)에 IP 주소 전달을 제한하고, DNS 응답 사이트 주소가 허용 대상 사이트에 해당하지 않는다는 응답을 전달할 수 있다.
DNS 서버(140)는 사용자 단말(110)로부터 전송된 DNS 질의에 대응하는 DNS 응답을 전송할 수 있다. 이때, DNS 응답은 DNS 질의 패킷에 포함된 입력 사이트 주소에 대응하는 실제 사이트 주소 및 IP 주소를 포함할 수 있다. 여기서 실제 사이트 주소는 DNS 응답 사이트 주소라고 할 수 있다.
DNS 서버(140)는 사용자 단말(110)로부터 전송되는 DNS 질의 패킷으로부터 입력 사이트 주소를 추출하여 입력 사이트 주소에 대응하는 DNS 응답 사이트 주소 및 IP 주소를 검색할 수 있다.
DNS 서버(140)는 사이트 주소에 대응하는 IP 주소를 사용자 단말(110)에게 회신할 수 있다. 예를 들면, 사용자 단말(110)이 www.abc.com의 사이트 주소를 갖는 사이트에 접속하기 위하여 www.abc.com이라는 사이트 주소를 입력할 경우, 사용자 단말(110)은 DNS 서버(140)에 DNS 질의 패킷을 전송하여 www.abc.com에 대한 IP 주소를 요청할 수 있다. 이때, DNS 서버(140)는 www.abc.com에 대응되는 IP 주소인 111.111.111.111을 추출할 수 있고, 실제 사이트 주소 및 사이트 주소에 대응하는 IP 주소를 사용자 단말(110)에게 전달할 수 있다.
도 1b는 다른 일실시예에 따른 사이트 접속 차단 시스템의 전체 구성도를 설명하기 위한 도면이다.
도 1b를 참조하면, 다른 일실시예에 따른 사이트 접속 차단 시스템(101)은, 사용자 단말(110), 네트워크 장치(121), 내부 DNS 서버(150) 및 DNS 서버(140)를 포함할 수 있다. 이때, 네트워크 장치(121)는 목록 데이터베이스(122)를 포함할 수 있다.
사용자 단말(110)은, 인터넷 사이트에 접속하기 위하여 접속하고자 하는 사이트 주소(예를 들면, url 또는 IP 주소)를 입력할 수 있다. 만약 사용자가 URL을 입력하여 인터넷 사이트에 접속하고자 하는 경우, 사용자 단말은 DNS 질의 패킷을 네트워크 장치(121)를 통해 DNS 서버에 전송하여 사이트 주소에 대응하는 IP 주소를 요청할 수 있다.
네트워크 장치(121)는 사용자 단말(110)이 인터넷에 접속할 수 있도록 연결해주는 장치로, 예를 들면 브리지(Bridge) 또는 라우터를 포함할 수 있다.
이때, 네트워크 장치(121)는 사용자 단말(110)로부터 수신한 입력 사이트 주소를 포함하는 DNS 질의를 내부 DNS 서버(150)에 전달할 수 있다. 내부 DNS 서버(150)는 기존에 방문한 사이트의 IP 주소를 외부 DNS 서버(140)에 다시 물어보는 불편을 방지하기 위해 사이트에 대응하는 IP 주소를 캐시 저장할 수 있다. 사용자 단말(110)은 DNS 서버(140)에 DNS 쿼리 패킷을 전송하지 않고, 내부 DNS 서버(150)에 저장된 DNS 응답을 이용하여 서비스 속도를 개선할 수 있다.
내부 DNS 서버(150)에 입력 사이트 주소에 대응하는 IP 주소가 존재하지 않는 경우, 내부 DNS 서버(150)는 네트워크 장치(121)를 통해 DNS 질의 패킷을 네트워크 망의 외부에 있는 DNS 서버(140)에 전달할 수 있다.
사용자 단말(110) 또는 내부 DNS 서버(150)가 DNS 질의 패킷을 송신하면, 네트워크 장치(121)는 우선 내부 DNS 서버(150)에 DNS 질의 패킷을 송신하여 DNS 질의를 수행할 수 있다. 이때, 내부 DNS 서버에서 IP 주소를 검색할 수 없는 경우, 네트워크 장치(121)는 DNS 질의 패킷을 외부 DNS 서버(140)로 전달할 수 있다.
일실시예에 따른 네트워크 장치(121)는 DNS 서버로부터 수신한 DNS 응답을 파싱하여 DNS 응답 사이트 주소를 추출할 수 있다. 여기서, DNS 응답은 사용자 단말(110)에 입력된 입력 사이트 주소에 대응하는 실제 인터넷 사이트 주소인 DNS 응답 사이트 주소 및 IP 주소를 포함할 수 있다.
일실시예에 따른 네트워크 장치(121)는 추출된 DNS 응답 사이트 주소가 차단 대상 목록 또는 허용 대상 목록에 포함된 것인지 여부를 목록 데이터베이스(122)를 통해 확인할 수 있다.
일실시예에 따른 목록 데이터베이스(122)는 차단 대상 목록 또는 허용 대상 목록을 포함할 수 있다. 이때, 네트워크 장치(121)는 추출된 DNS 응답 사이트 주소가 목록 데이터베이스에 저장된 차단 대상 목록 또는 허용 대상 목록에 포함되었는지 여부를 확인할 수 있다.
일실시예에 따른 네트워크 장치(121)는 DNS 응답 사이트 주소가 목록 데이터베이스(122)의 차단 대상 목록 또는 허용 대상 목록에 포함되었는지 여부에 따라 사용자 단말(110)에 DNS 질의에 대응하는 DNS 응답 패킷을 전달할 지 여부를 결정할 수 있다.
일실시예에 따른 네트워크 장치(121)는 DNS 응답 사이트 주소가 목록 데이터베이스(122)의 차단 대상 목록에 포함된 경우, 사용자 단말(110)에 DNS 질의에 대응하는 DNS 응답 패킷의 전달을 제한할 수 있다. DNS 응답을 수신하지 못한 사용자 단말(110)은 해당 인터넷 사이트의 IP 주소를 알 수 없으므로, 해당 인터넷 사이트의 접속이 제한된다.
또, 네트워크 장치(121)는 상기 DNS 응답 사이트 주소가 목록 데이터베이스(122)의 차단 대상 목록에 포함되지 않은 경우, 사용자 단말(110)에 DNS 질의에 대응하는 DNS 응답을 전달할 수 있다. 사용자 단말(110)은 DNS 응답에 포함된 IP 주소를 통해서 접속하고자 하는 인터넷 사이트에 접속할 수 있다.
다른 일실시예에 따른 네트워크 장치(121)는 상기 DNS 응답 사이트 주소가 목록 데이터베이스(122)의 허용 대상 목록에 포함된 경우, 사용자 단말(110)에 DNS 질의에 대응하는 DNS 응답을 전달할 수 있다. 사용자 단말(110)은 DNS 응답에 포함된 IP 주소를 통해서 접속하고자 하는 인터넷 사이트에 접속할 수 있다.
또, 네트워크 장치(121)는 상기 DNS 응답 사이트 주소가 목록 데이터베이스(122)의 허용 대상 목록에 포함되지 않은 경우, 사용자 단말(110)에 DNS 질의에 대응하는 DNS 응답을 전달을 제한할 수 있다. DNS 응답을 수신하지 못한 사용자 단말(110)은 해당 인터넷 사이트의 IP 주소를 알 수 없으므로, 해당 인터넷 사이트의 접속이 제한된다.
도 2는 일실시예에 따른 사이트 접속 차단 시스템에서의 각 단계를 설명하기 위한 도면이다.
도 2를 참조하면, 단계(210)에서, 사용자 단말(110)은 DNS 서버(140)에 DNS 질의(query)를 할 수 있다. 여기서, DNS 질의는 DNS 질의 패킷을 DNS 서버(140)에 전송하는 것을 의미할 수 있다. DNS 질의 패킷은 사용자에 의해 입력된 입력 사이트 주소를 포함할 수 있다.
단계(220)에서, 네트워크 장치(120)는 DNS 질의를 DNS 서버(140)에 전달할 수 있다. 사용자 단말(110)이 인터넷에 접속하기 위해서는 라우터 같은 네트워크 장치(120)를 통해야 한다. 따라서, 네트워크 장치(120)는 사용자 단말로부터 수신한 인터넷 접속 요청 패킷이 DNS 질의에 해당하는지 여부를 판단할 수 있다. 만약 사용자 단말로부터 수신한 인터넷 접속 요청 패킷이 DNS 질의에 해당하는 경우, 네트워크 장치(120)는 DNS 서버(140)에 DNS 질의 패킷을 전달할 수 있다.
단계(230)에서, 네트워크 장치(120)는 DNS 서버(140)로부터 DNS 응답을 수신할 수 있다.
DNS 서버(140)가 DNS 질의 패킷을 수신하면, DNS 질의 패킷의 입력 사이트 주소에 대응하는 IP 주소 및 실제 사이트 주소를 확인하여 네트워크 장치(120)에 DNS 응답 패킷을 전송할 수 있다. 따라서, 입력 사이트 주소가 정상적으로 입력된 경우, 네트워크 장치(120)는 DNS 서버(140)로부터 DNS 응답 패킷을 수신할 수 있다.
단계(240)에서, 네트워크 장치(120)는 DNS 응답을 파싱하여 사이트 주소를 추출할 수 있다. 여기서, 사이트 주소는 입력 사이트 주소에 대응하는 실제 사이트 주소인, DNS 응답 사이트 주소가 될 수 있다. 일실시예에 따른 네트워크 장치(120)는, DNS 응답 패킷 중 사이트 주소를 추출할 수 있다.
이때, 단계(210)에서의 입력 사이트 주소와 단계(240)에서의 DNS 응답 사이트 주소는 동일한 사이트 주소가 될 수도 있고, 다른 사이트 주소가 될 수도 있다.
단계(250)에서, 네트워크 장치(120)는 목록 서버(130)에 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었는지 여부를 질의할 수 있다. 종래의 DNS 응답을 이용하지 않고 네트워크 장치에서 직접 차단 대상 목록에 포함되었는지 여부를 판단하여 트래픽을 차단하는 방식과 달리, 실시예들은 별도의 목록 서버(130)에서 DNS 응답 중 추출된 사이트 주소가 차단 대상 목록에 포함되었는지 여부를 판단함으로써, 네트워크 장치의 부하를 줄일 수 있다.
단계(260)에서, 목록 서버(130)는 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었는지 여부를 확인하여 네트워크 장치(120)에 응답할 수 있다.
만약, DNS 응답 사이트 주소가 차단 대상 목록에 포함된 경우, 목록 서버(130)는 네트워크 장치에 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었음을 회신할 수 있다. 또, DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않은 경우, 목록 서버(130)는 네트워크 장치에 DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않았음을 회신할 수 있다.
따라서, 네트워크 장치(120)는 목록 서버(130)로부터 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었는지 여부에 대한 응답을 수신할 수 있다.
단계(270)에서, 네트워크 장치(120)는 사용자 단말(110)에 DNS 응답을 전달하거나, 사이트 접속을 차단할 수 있다.
만약, 목록 서버(130)로부터 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었음을 회신한 경우, 네트워크 장치(120)는 사용자 단말(110)에 DNS 응답 사이트 주소가 차단 대상 사이트에 해당한다는 응답을 전달할 수 있다. 또, 목록 서버(130)로부터 DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않았음을 회신한 경우, 네트워크 장치(120)는 사용자 단말(110)에 DNS 응답에 포함된 IP 주소를 전달할 수 있다.
도 3은 일실시예에 따른 사이트 접속 차단 방법을 설명하기 위한 흐름도이다.
도 3을 참조하면, 단계(310)에서, 네트워크 장치는 사용자 단말의 접속 요청이 DNS 질의에 해당하는지 여부를 확인할 수 있다.
사용자가 인터넷 사이트 서버에 접속하기 위해서, 사용자 단말의 웹 브라우저에 접속하고자 하는 인터넷 사이트의 사이트 주소를 입력할 수 있다. 이때, 일실시예에 따른 네트워크 장치는 사용자 단말로부터 전송된 사이트 접속 요청 패킷이 DNS 질의 패킷에 해당하는지 여부를 판단할 수 있다.
만약, 사용자 단말로부터 전송된 사이트 접속 요청 패킷이 DNS 서버에 대한 DNS 질의 패킷이 아닌 경우, 사용자 단말의 해당 사이트로의 접속을 허용할 수 있다. 예를 들면, 사용자 단말로부터 수신된 사이트 접속 요청 패킷이 내부 인트라넷 사이트 접속 요청 정보인 경우, DNS 서버 질의 패킷이 아닌 것으로 판단하여 해당 인트라넷 사이트로의 접속을 허용할 수 있다.
만약, 사용자 단말로부터 전송된 사이트 접속 요청 패킷이 DNS 서버에 대한 DNS 질의 패킷인 경우, 네트워크 장치는 DNS 서버로 DNS 질의 패킷을 전달할 수 있다. 여기서 DNS 질의 패킷은, 사용자가 사용자 단말에 입력한 입력 사이트 주소에 대응하는 실제 사이트 주소 및 IP 주소를 질의하는 패킷을 포함할 수 있다.
단계(320)에서, 네트워크 장치는 DNS 서버로부터 DNS 응답을 수신할 수 있다. 여기서 DNS 응답은, 사용자가 사용자 단말에 입력한 입력 사이트 주소에 대응하는 실제 사이트 주소 및 IP 주소를 포함할 수 있다. 이때, DNS 응답에 포함된 실제 사이트 주소를 DNS 응답 사이트 주소라고 할 수 있다.
단계(330)에서, 네트워크 장치는 DNS 응답에서 사이트 주소를 추출할 수 있다.
일실시예에 따른 네트워크 장치는, DNS 응답 패킷에서 DNS 응답 사이트 주소를 파싱할 수 있다. 이때, 파싱은 DNS 응답 패킷의 토큰(token)의 열을 받아들여, 특정 상황에 맞게 분석하거나 가공하는 것을 말하는데, 실시예에서는 사이트 주소를 추출해 내는 일을 포함할 수 있다.
단계(340)에서, 네트워크 장치는 목록 서버에 추출된 사이트 주소가 차단 대상 목록에 포함되었는지 여부를 질의할 수 있다.
일실시예에 따른 목록 서버는 차단 대상 목록을 포함하는, 네트워크 장치와 별도의 서버로, 네트워크 장치의 부하를 덜어주는 역할을 할 수 있다. 이때, 네트워크 장치는 목록 서버에 추출된 DNS 응답 사이트 주소를 전달하여, 차단 대상 목록에 추출된 DNS 응답 사이트 주소가 포함되었는지 여부를 질의할 수 있다.
일실시예에 따른 목록 서버는, DNS 응답 사이트 주소가 차단 대상 목록에 포함되었는지 여부를 판단할 수 있다.
만약, DNS 응답 사이트 주소가 차단 대상 목록에 포함된 경우, 목록 서버는 네트워크 장치에 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었음을 회신할 수 있다. 또, DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않은 경우, 목록 서버는 네트워크 장치에 DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않았음을 회신할 수 있다.
이때, 네트워크 장치와 별개의 목록 서버에서 해당 사이트의 차단 여부를 판단하도록 함으로써, 사용자 단말 또는 네트워크 장치 측의 부하를 줄일 수 있다. 또, 목록 서버만 별도로 관리할 수 있으므로, 사용자 단말과 네트워크 장치에서 차단 대상 목록을 일일이 관리해줘야 하는 불편함을 해소할 수 있다.
단계(350)에서, 추출된 사이트 주소가 차단 대상 목록에 포함된 경우, 네트워크 장치는 사용자 단말의 인터넷 접속을 차단할 수 있다.
일실시예에 따른 네트워크 장치는 추출된 DNS 응답 사이트 주소가 목록 서버의 차단 대상 목록에 포함된 경우, DNS 응답 사이트 주소가 차단 대상 목록에 포함되었음을 회신 받을 수 있다. 이때, 네트워크 장치는 사용자 단말의 해당 인터넷 사이트로의 접속을 차단할 수 있다. 예를 들면, 네트워크 장치는 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었음을 확인한 경우, DNS 응답 패킷을 사용자 단말에 전달하지 않을 수 있다. DNS 응답 패킷을 수신하지 못한 사용자 단말은 IP 주소를 확인할 수 없으므로 해당 사이트로의 접속이 불가능하다.
단계(360)에서, 사용자 단말의 접속 요청이 DNS 질의에 해당하지 않는 경우 또는 추출된 사이트 주소가 차단 대상 목록에 포함되지 않은 경우, 네트워크 장치는 사용자 단말의 인터넷 접속을 허용할 수 있다.
일실시예에 따른 네트워크 장치는, 추출된 DNS 응답 사이트 주소가 목록 서버의 차단 대상 목록에 포함되지 않은 경우, DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않았음을 회신 받을 수 있다. 이때, 네트워크 장치는 사용자 단말의 해당 인터넷 사이트로의 접속을 허용할 수 있다. 예를 들면, 네트워크 장치는 DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않음을 확인한 경우, DNS 응답 패킷을 사용자 단말에 전달할 수 있다. DNS 응답 패킷을 수신한 사용자 단말은 IP 주소를 확인하여 해당 사이트로의 접속이 가능하다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
110: 사용자 단말
120: 네트워크 장치
130: 목록 서버
140: DNS 서버

Claims (9)

  1. 네트워크 장치에서의 사이트 접속 차단 방법에 있어서,
    사용자 단말로부터 수신한 사이트 접속 요청 패킷이 입력 사이트 주소를 포함하는 DNS(Domain Name System) 질의 패킷인지 여부를 확인하는 단계;
    상기 사용자 단말로부터 수신한 사이트 접속 요청 패킷이 DNS 질의 패킷이 아닌 경우, 상기 사이트 접속 요청 패킷에 대응하는 사이트로의 접속을 허용하는 단계;
    상기 사용자 단말로부터 수신한 사이트 접속 요청 패킷이 DNS 질의 패킷인 경우, 상기 DNS 질의 패킷을 DNS 서버에 전달하는 단계;
    상기 DNS 서버로부터 상기 DNS 질의에 대응하는 DNS 응답을 수신하는 단계;
    상기 DNS 응답을 파싱하여 DNS 응답 사이트 주소를 추출하는 단계;
    상기 추출된 DNS 응답 사이트 주소를 목록 서버에 전송하는 단계;
    상기 목록 서버로부터 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었다는 응답, 또는 상기 목록 서버로부터 상기 DNS 응답 사이트 주소가 허용 대상 목록에 포함되지 않았다는 응답을 수신한 경우, 상기 사용자 단말에 상기 DNS 질의에 대응하는 DNS 응답의 전달을 제한하는 단계; 및
    상기 목록 서버로부터 상기 DNS 응답 사이트 주소가 허용 대상 목록에 포함되었다는 응답, 또는 상기 목록 서버로부터 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않았다는 응답을 수신한 경우, 상기 사용자 단말에 상기 DNS 질의에 대응하는 DNS 응답을 전달하는 단계
    를 포함하고,
    상기 목록 서버는
    적어도 하나의 접속 차단 대상 사이트의 도메인 네임, 사이트 주소 및 IP주소가 포함된 차단 대상 목록, 또는 적어도 하나의 접속 허용 대상 사이트의 도메인 네임, 사이트 주소 및 IP주소가 포함된 허용 대상 목록을 포함하며,
    수신한 DNS 응답 사이트 주소가 상기 차단 대상 목록, 또는 상기 허용 대상 목록에 포함되어 있는지 여부를 판단하고, 판단 결과에 따른 응답을 전송하는 네트워크 장치에서의 사이트 접속 차단 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 수신하는 단계는,
    상기 입력 사이트 주소에 대응하는 DNS 응답 사이트 주소 및 IP 주소를 포함하는 DNS 응답을 수신하는
    네트워크 장치에서의 사이트 접속 차단 방법.
  4. 목록 서버에서의 사이트 접속 차단 방법에 있어서,
    네트워크 장치로부터 DNS 응답 사이트 주소가 차단 대상 목록에 포함된 것인지에 대한 질의를 수신하는 단계;
    상기 수신된 질의에 기초하여 상기 DNS 응답 사이트 주소가 적어도 하나의 접속 차단 대상 사이트의 도메인 네임, 사이트 주소 및 IP주소가 포함된 차단 대상 목록, 또는 적어도 하나의 접속 허용 대상 사이트의 도메인 네임, 사이트 주소 및 IP주소가 포함된 허용 대상 목록에 포함되어 있는지를 판단하는 단계; 및
    상기 판단 결과를 나타내는 응답을 상기 네트워크 장치에 전달하는 단계
    를 포함하고,
    상기 DNS 응답 사이트 주소는,
    상기 네트워크 장치가 DNS 질의에 대응하는 DNS 응답을 파싱함으로써 추출되는 사이트 주소이며,
    상기 네트워크 장치는,
    사용자 단말로부터 수신한 사이트 접속 요청 패킷이 DNS 질의 패킷이 아닌 경우, 상기 사이트 접속 요청 패킷에 대응하는 사이트로의 접속을 허용하고,
    상기 목록 서버로부터 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함되었다는 응답, 또는 상기 목록 서버로부터 상기 DNS 응답 사이트 주소가 허용 대상 목록에 포함되지 않았다는 응답을 수신한 경우, 상기 사용자 단말에 상기 DNS 질의에 대응하는 DNS 응답의 전달을 제한하며,
    상기 목록 서버로부터 상기 DNS 응답 사이트 주소가 허용 대상 목록에 포함되었다는 응답, 또는 상기 목록 서버로부터 상기 DNS 응답 사이트 주소가 차단 대상 목록에 포함되지 않았다는 응답을 수신한 경우, 상기 사용자 단말에 상기 DNS 질의에 대응하는 DNS 응답을 전달하는 목록 서버에서의 사이트 접속 차단 방법.
  5. 제4항에 있어서,
    상기 DNS 질의는, 사용자 단말에 의해 입력된 입력 사이트 주소를 포함하는
    목록 서버에서의 사이트 접속 차단 방법.
  6. 제5항에 있어서,
    상기 DNS 응답은, 상기 입력 사이트 주소에 대응하는 DNS 응답 사이트 주소 및 IP 주소를 포함하는
    목록 서버에서의 사이트 접속 차단 방법.
  7. 삭제
  8. 삭제
  9. 삭제
KR1020150048538A 2015-04-06 2015-04-06 사이트 접속 차단 방법 및 장치 KR101622876B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150048538A KR101622876B1 (ko) 2015-04-06 2015-04-06 사이트 접속 차단 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150048538A KR101622876B1 (ko) 2015-04-06 2015-04-06 사이트 접속 차단 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101622876B1 true KR101622876B1 (ko) 2016-05-31

Family

ID=56099228

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150048538A KR101622876B1 (ko) 2015-04-06 2015-04-06 사이트 접속 차단 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101622876B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101907621B1 (ko) * 2017-06-12 2018-10-15 주식회사 시큐아이 접근 제어 규칙 검증 방법 및 그 장치
KR101976197B1 (ko) 2018-02-01 2019-05-07 장재순 물리적 단속이 가능한 인터넷 케이블 접속용 어댑터
CN114710302A (zh) * 2020-12-17 2022-07-05 北京首信科技股份有限公司 互联网访问的控制方法及其控制装置
CN114726566A (zh) * 2021-01-05 2022-07-08 ***通信有限公司研究院 网址过滤方法、装置及节点
KR102460692B1 (ko) * 2021-11-18 2022-10-31 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100327989B1 (ko) * 1999-05-26 2002-03-09 박명순 분산 환경에서의 인터넷 유해 정보 차단 방법 및 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100327989B1 (ko) * 1999-05-26 2002-03-09 박명순 분산 환경에서의 인터넷 유해 정보 차단 방법 및 장치

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101907621B1 (ko) * 2017-06-12 2018-10-15 주식회사 시큐아이 접근 제어 규칙 검증 방법 및 그 장치
KR101976197B1 (ko) 2018-02-01 2019-05-07 장재순 물리적 단속이 가능한 인터넷 케이블 접속용 어댑터
CN114710302A (zh) * 2020-12-17 2022-07-05 北京首信科技股份有限公司 互联网访问的控制方法及其控制装置
CN114726566A (zh) * 2021-01-05 2022-07-08 ***通信有限公司研究院 网址过滤方法、装置及节点
KR102460692B1 (ko) * 2021-11-18 2022-10-31 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023090756A1 (ko) * 2021-11-18 2023-05-25 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Similar Documents

Publication Publication Date Title
CN107690800B (zh) 管理动态ip地址分配
KR101622876B1 (ko) 사이트 접속 차단 방법 및 장치
US8122493B2 (en) Firewall based on domain names
CN109218368B (zh) 实现Http反向代理的方法、装置、电子设备和可读介质
EP3170091B1 (en) Method and server of remote information query
EP2695358B1 (en) Selection of service nodes for provision of services
US8024774B2 (en) System and method for crawl policy management utilizing IP address and IP address range
US11516257B2 (en) Device discovery for cloud-based network security gateways
CN102025713B (zh) 一种访问控制方法、***及dns服务器
EP3313044A1 (en) Real-time cloud based detection and mitigation of dns data exfiltration and dns tunneling
KR101850351B1 (ko) P2P 프로토콜을 이용한 IoC 정보 조회 방법
US10645061B2 (en) Methods and systems for identification of a domain of a command and control server of a botnet
EP3860095A1 (en) Methods for information drainage, requesting transmission and communication acceleration, and drainage and node server
CN109088909B (zh) 一种基于商户类型的服务灰度发布方法及设备
US10542107B2 (en) Origin server protection notification
EP3306900B1 (en) Dns routing for improved network security
MX2011003223A (es) Acceso al proveedor de servicio.
CN104618449A (zh) 一种实现web单点登录的方法及装置
CN106411819A (zh) 一种识别代理互联网协议地址的方法及装置
KR101522139B1 (ko) DNS 서버 선별 차단 및 Proxy를 이용한 DNS 주소 변경 방법
CN112311722A (zh) 一种访问控制方法、装置、设备及计算机可读存储介质
CN109451094B (zh) 一种获取源站ip地址方法、***、电子设备和介质
US20160352680A1 (en) Method and system for integrating dns list feeds
Zhang et al. Ephemeral exit bridges for tor
KR101645222B1 (ko) 어드밴스드 도메인 네임 시스템 및 운용 방법

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190514

Year of fee payment: 4