KR101769447B1 - Management Methods of IP Address Resources For DDoS, Protection Methods Thereof, And DHCP Server For The Same - Google Patents

Management Methods of IP Address Resources For DDoS, Protection Methods Thereof, And DHCP Server For The Same Download PDF

Info

Publication number
KR101769447B1
KR101769447B1 KR1020130125086A KR20130125086A KR101769447B1 KR 101769447 B1 KR101769447 B1 KR 101769447B1 KR 1020130125086 A KR1020130125086 A KR 1020130125086A KR 20130125086 A KR20130125086 A KR 20130125086A KR 101769447 B1 KR101769447 B1 KR 101769447B1
Authority
KR
South Korea
Prior art keywords
address
client terminal
ddos
dos
dhcp server
Prior art date
Application number
KR1020130125086A
Other languages
Korean (ko)
Other versions
KR20150046404A (en
Inventor
허근형
김태균
배준환
임호문
정진환
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020130125086A priority Critical patent/KR101769447B1/en
Publication of KR20150046404A publication Critical patent/KR20150046404A/en
Application granted granted Critical
Publication of KR101769447B1 publication Critical patent/KR101769447B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

좀비 PC 등에 의하여 목적지 IP 주소로의 DoS/DDoS 공격을 차단하기 위하여 공격받는 DHCP 클라이언트 단말의 IP 주소를 관리하는 방법이 개시된다. 본 발명은 클라이언트 단말에 할당 가능한 가용 IP 자원을 관리하는 단계; IP 네트워크상의 트래픽을 모니터링 하여 제1 IP 주소에 대한 DoS/DDoS 공격이 감지되는 경우 상기 제1 IP 주소를 가용 IP 자원에서 배제하는 단계; 및 상기 제1 IP 주소의 클라이언트 단말에 IP 주소 회수 요청 메시지를 전송하는 단계를 포함하는 DHCP 서버에서의 가용 IP 자원 관리 방법을 제공한다. 본 발명에 따르면, DHCP 프로토콜을 사용하는 클라이언트 단말이 DDoS 등의 공격을 받는 경우 해당 단말이 사용하는 IP주소를 실시간 회수하고, 다른IP주소를 재할당하여 해당 단말의 인터넷 서비스가 중단되는 것을 방지할 수 있게 된다.A method of managing an IP address of an attacked DHCP client terminal to block DoS / DDoS attacks to a destination IP address by a zombie PC or the like is disclosed. The present invention provides a method comprising: managing available IP resources allocatable to a client terminal; Monitoring traffic on the IP network to exclude the first IP address from the available IP resources when a DoS / DDoS attack is detected for the first IP address; And transmitting an IP address recovery request message to the client terminal having the first IP address. The present invention also provides a method for managing available IP resources in a DHCP server. According to the present invention, when a client terminal using the DHCP protocol receives an attack such as DDoS, the IP address used by the terminal is recovered in real time, and another IP address is reallocated to prevent the Internet service of the terminal from being interrupted .

Figure R1020130125086
Figure R1020130125086

Description

분산 서비스 거부 공격에 대한 IP 주소 자원 관리 방법,분산 서비스 거부 공격 방호 방법 및 이를 위한 DHCP 서버 {Management Methods of IP Address Resources For DDoS, Protection Methods Thereof, And DHCP Server For The Same}[0001] The present invention relates to an IP address resource management method, a distributed denial-of-service attack protection method, and a DHCP server for a distributed denial-

본 발명은 좀비 PC 등에 의한 목적지 IP 주소로의 DoS/DDoS 공격을 차단하기 위한 방법에 관한 것으로, 보다 상세하게는 공격받는 DHCP 클라이언트 단말의 IP 주소를 관리하는 방법에 관한 것이다. The present invention relates to a method for blocking a DoS / DDoS attack to a destination IP address by a zombie PC, and more particularly, to a method of managing an IP address of an attacked DHCP client terminal.

일반적으로 다수 좀비 PC에 의한 특정 목적지 IP 주소로 DoS/DDoS 등의 부정 액세스 공격으로 인하여 해당 IP 주소를 사용하는 단말은 네트워크 장비 고장 및/또는 해당 단말의 CPU, 메모리 소진 등으로 인터넷을 사용할 수 없게 된다.In general, a terminal using a corresponding IP address due to a denial-of-service attack such as DoS / DDoS with a specific destination IP address by a plurality of zombie PCs can not use the Internet due to a failure of a network equipment and / do.

또한, 공격받는 단말을 수용한 인터넷 장비는 WAN(Wide Area Networks) 구간 회선 대역폭 고갈 및 장비 과부하 등으로 정상 동작을 못하게 되며, 공격받는 단말뿐만 아니라 해당 인터넷 장비에 수용된 다른 단말 또한 인터넷 사용이 불가하게 된다. In addition, an Internet appliance accommodating an attacked terminal may not operate normally due to exhaustion of line bandwidth and a device overload in a WAN (Wide Area Networks) section. In addition to the attacked terminal, other terminals accommodated in the Internet equipment can not use the Internet do.

이 경우, ISP는 공격받는 목적지 IP주소를 수용하고 있는 인터넷 장비 보호와 해당 장비에 수용된 다른 단말들의 정상적인 인터넷 사용을 위해서 공격대상 목적지 IP주소로 향하는 트래픽을 차단장비로 우회시켜 폐기처리 한다. 이 때, 공격 목적지 IP주소를 사용하는 단말은 해당 IP주소로 향하는 트래픽이 폐기되어 새로운 IP주소를 재할당 받기 전까지는 인터넷을 사용할 수 없게 된다. In this case, the ISP bypasses the traffic destined for the attacked destination IP address to the blocking device in order to protect the Internet equipment accommodating the attacked destination IP address and the normal Internet use of other terminals accommodated in the equipment. In this case, the terminal using the attack destination IP address can not use the Internet until the traffic destined to the IP address is discarded and the new IP address is reassigned.

이 때, DHCP 프로토콜을 사용하는 단말은 기기를 OFF하고 재부팅 하더라도 DHCP 서버로 가장 최근에 사용했던 IP주소를 재할당 요청하므로, 여전히 동일한 IP 주소를 재할당 받으며, 이로 인해 인터넷 사용을 사용할 수 없게 된다.At this time, even if the terminal using the DHCP protocol turns off the device and reboots, the same IP address is still reallocated because the DHCP server requests the DHCP server to reassign the IP address most recently used, .

상기 종래 기술의 문제점을 해결하기 위하여 본 발명은, 네트워크 단에서 목적지 IP 주소에 대한 DDoS 등의 공격으로부터 목적지 단말의 인터넷 서비스 이용 중단을 방지하고 ISP의 네트워크 피해를 방지하기 위한 DHCP 프로토콜 기반의 IP 주소 자원 관리 방법 및 이를 구현하기 위한 DHCP 서버를 제공하는 것을 목적으로 한다. In order to solve the problems of the related art, the present invention provides a DHCP protocol-based IP address for preventing an interruption of Internet service use of a destination terminal from an attack such as a DDoS to a destination IP address at a network end, A resource management method, and a DHCP server for implementing the resource management method.

또한, 본 발명은 DHCP 서버의 주소 할당 기능을 이용하여 목적지 IP 주소로의 공격을 방호하는 방법을 제공하는 것을 목적으로 한다. It is another object of the present invention to provide a method for protecting an attack against a destination IP address by using an address assignment function of a DHCP server.

또한, 본 발명은 DHCP 서버에 의해 공격 받는 클라이언트 단말의 IP 주소 관리 방법을 제공하는 것을 제공하는 것을 목적으로 한다. It is another object of the present invention to provide a method of managing an IP address of a client terminal attacked by a DHCP server.

또한, 본 발명의 네트워크 상에서 DDoS 공격 감지 시 해당 목적지 IP의 클라이언트 단말 및 그 수용 장비에 속한 다른 단말의 인터넷 연결을 지속적으로 유지하면서 DDoS 공격을 방호할 수 있는 방법을 제공하는 것을 목적으로 한다. It is another object of the present invention to provide a method for protecting a DDoS attack while continuously maintaining Internet connection of a client terminal of a destination IP and other terminals belonging to the receiving terminal when a DDoS attack is detected on the network of the present invention.

상기 기술적 과제를 달성하기 위하여 본 발명은, 클라이언트 단말에 할당 가능한 가용 IP 자원을 관리하는 단계; IP 네트워크상의 트래픽을 모니터링 하여 제1 IP 주소에 대한 DoS/DDoS 공격이 감지되는 경우 상기 제1 IP 주소를 가용 IP 자원에서 배제하는 단계; 및 상기 제1 IP 주소의 클라이언트 단말에 IP 주소 회수 요청 메시지를 전송하는 단계를 포함하는 DHCP 서버에서의 가용 IP 자원 관리 방법을 제공한다. According to an aspect of the present invention, there is provided a method for managing an available IP resource, Monitoring traffic on the IP network to exclude the first IP address from the available IP resources when a DoS / DDoS attack is detected for the first IP address; And transmitting an IP address recovery request message to the client terminal having the first IP address. The present invention also provides a method for managing available IP resources in a DHCP server.

본 발명은, 상기 IP 회수 요청 메시지에 대한 응답으로, 상기 클라이언트 단말로부터 IP 주소 재할당 요청을 수신하는 단계; 상기 재할당 요청에 따라, 상기 클라이언트 단말에 대하여 상기 가용 IP 자원 중 제2 IP 주소를 재할당하는 단계; 재할당된 상기 제2 IP 주소를 상기 클라이언트 단말에 전송하는 단계를 더 포함할 수 있다. The method may further include receiving an IP address reallocation request from the client terminal in response to the IP collection request message; Reallocating a second IP address of the available IP resources to the client terminal according to the reallocation request; And transmitting the reallocated second IP address to the client terminal.

또한, 본 발명에서 상기 가용 IP 자원에서 배제하는 단계는, 상기 제1 IP 주소를 상기 가용 IP 자원에서 삭제하는 단계를 포함할 수 있다. Also, in the present invention, excluding the available IP resources may include deleting the first IP address from the available IP resources.

또한, 본 발명은, IP 네트워크상의 트래픽을 모니터링 하여 상기 제1 IP 주소에 대한 DoS/DDoS 공격이 종료된 경우, DHCP 서버가 상기 제1 IP 주소를 가용 IP 자원에 포함시키는 단계를 더 포함할 수 있다. In addition, the present invention may further include a step in which the DHCP server includes the first IP address in the available IP resources when the DoS / DDoS attack for the first IP address is terminated by monitoring traffic on the IP network have.

상기 다른 기술적 과제를 달성하기 위하여 본 발명은, DoS/DDoS 방호 장비에서 IP 네트워크상의 트래픽을 모니터링 하여 제1 IP 주소에 대한 DoS/DDoS 공격을 감지하고, DHCP 서버로 DoS/DDoS 공격 여부를 통지하는 단계; 상기 DHCP 서버에서, 상기 제1 IP 주소를 가용 IP 자원에서 배제하는 단계; 상기 DHCP 서버에서 상기 제1 IP 주소의 클라이언트 단말로 IP 주소 회수 요청 메시지를 전송하는 단계; 상기 클라이언트 단말의 IP 주소를 상기 가용 IP 자원의 제2 IP 주소로 변경하는 단계; 및 상기 클라이언트 단말의 IP 주소 변경 후 상기 네트워크 방호 장비에서 상기 제1 IP 주소로 전송되는 패킷을 폐기하는 단계를 포함하는 DoS/DDoS 공격 방호 방법을 제공한다. According to another aspect of the present invention, there is provided a method for monitoring a DoS / DDoS attack on a first IP address by monitoring traffic on an IP network in a DoS / DDoS protection device, step; In the DHCP server, excluding the first IP address from available IP resources; Transmitting an IP address recovery request message from the DHCP server to the client terminal of the first IP address; Changing an IP address of the client terminal to a second IP address of the available IP resource; And discarding a packet transmitted from the network protection equipment to the first IP address after changing the IP address of the client terminal.

본 발명에서, 상기 변경 단계는, 상기 클라이언트 단말로부터 상기 DHCP 서버로 IP 주소 재할당 요청을 수신하는 단계; 상기 DHCP 서버에서 가용 IP 자원의 제2 IP 주소를 상기 클라이언트 단말의 IP 주소로 설정하는 단계; 상기 DHCP 서버에서 상기 제2 IP 주소를 상기 클라이언트 단말로 전송하는 단계; 및 상기 클라이언트 단말에서 상기 제2 IP 주소를 IP 주소로 설정하는 단계를 포함할 수 있다. In the present invention, the changing step may include: receiving an IP address reassignment request from the client terminal to the DHCP server; Setting a second IP address of an available IP resource to an IP address of the client terminal in the DHCP server; Transmitting the second IP address from the DHCP server to the client terminal; And setting the second IP address to an IP address in the client terminal.

상기 또 다른 기술적 과제를 달성하기 위하여 본 발명은, DHCP 서버로 IP 주소를 요청하고, 상기 요청에 대한 응답으로, 상기 DHCP 서버로부터 제1 IP 주소를 수신하고, IP 주소를 상기 제1 IP 주소로 설정하는 단계; 상기 DHCP 서버로부터 IP 주소의 회수 요청 메시지를 수신하는 단계; 상기 회수 요청 메시지의 수신에 응답하여, 상기 DHCP 서버로 IP 주소를 요청하고, 상기 요청에 대한 응답으로 제2 IP 주소를 수신하는 단계; 및 상기 제1 IP 주소를 상기 제2 IP 주소로 변경하는 단계를 포함하는 DHCP 클라이언트 단말에서의 IP 설정 방법을 제공한다. According to another aspect of the present invention, there is provided a method for controlling a DHCP server, the method comprising: requesting an IP address from a DHCP server; receiving a first IP address from the DHCP server in response to the request; ; Receiving an IP address collection request message from the DHCP server; Requesting an IP address from the DHCP server in response to receiving the collection request message and receiving a second IP address in response to the request; And changing the first IP address to the second IP address.

또한 본 발명은, IP 네트워크에 연결되어, DHCP 클라이언트 단말들에 할당될 IP 주소들을 관리하는 IP 자원 관리부와 상기 클라이언트 단말들로부터의 IP 할당 요청을 처리하는 DHCP 메시지 처리부를 포함하는 DHCP 서버에 있어서, 상기 DHCP 메시지 처리부는, 상기 IP 네트워크에 연결된 DoS/DDoS 방호 장비로부터 제1 IP 주소에 대한 DoS/DDoS 공격 탐지 메시지를 수신하고, 상기 제1 IP 주소의 클라이언트 단말로 IP 회수 요청 메시지를 전송하고, 상기 자원 관리부는 가용 IP 자원 중 상기 제1 IP 주소를 배제한 제2 IP 주소를 상기 클라이언트 단말에 대해 설정하는 것을 특징으로 하는 DHCP 서버를 제공한다. The present invention also provides a DHCP server connected to an IP network and including an IP resource management unit for managing IP addresses to be allocated to DHCP client terminals and a DHCP message processing unit for processing an IP allocation request from the client terminals, Wherein the DHCP message processor receives a DoS / DDoS attack detection message for a first IP address from a DoS / DDoS protection device connected to the IP network, transmits an IP recovery request message to the client terminal of the first IP address, Wherein the resource management unit sets a second IP address of the available IP resources excluding the first IP address to the client terminal.

본 발명에서 상기 DHCP 메시지 처리부는 상기 제2 IP 주소를 제1 IP 주소의 상기 클라이언트 단말로 전송할 수 있다. 또한, 상기 DHCP 메시지 처리부는 상기 제2 IP 주소를 전송한 후, 상기 제1 IP 주소로 전송되는 패킷을 폐기하기 위한 메시지를 상기 DoS/DDoS 방호 장비로 전송할 수 있다.
In the present invention, the DHCP message processing unit may transmit the second IP address to the client terminal of the first IP address. In addition, the DHCP message processor may transmit a message for discarding a packet transmitted to the first IP address to the DoS / DDoS protection apparatus after transmitting the second IP address.

본 발명에 따르면, DHCP 프로토콜을 사용하는 클라이언트 단말이 DDoS 등의 공격을 받는 경우 해당 단말이 사용하는 IP주소를 실시간 회수하고, 다른IP주소를 재할당하여 해당 단말의 인터넷 서비스가 중단되는 것을 방지할 수 있게 된다. According to the present invention, when a client terminal using the DHCP protocol receives an attack such as DDoS, the IP address used by the terminal is recovered in real time, and another IP address is reallocated to prevent the Internet service of the terminal from being interrupted .

또한, 본 발명에 따르면 공격대상 단말의 목적지 IP주소로 향하는 DDoS 트래픽만 선별 폐기시켜, 공격받는 단말을 수용한 인터넷 장비 보호뿐만 아니라 해당장비에 수용된 다른 모든 단말의 인터넷 중단을 방지할 수 있다. In addition, according to the present invention, only the DDoS traffic destined to the destination IP address of the attack target terminal can be selectively discarded, thereby protecting the Internet equipment accommodating the attacked terminal as well as preventing the Internet interruption of all other terminals accommodated in the equipment.

또한, DHCP 프로토콜을 사용하는 단말은 IP주소 회수에 일반적으로 임대 기간에 해당하는 시간(최대 60분)이 소요되나, 본 발명에 따르면 목적지 IP의 즉시 회수가 가능하여 IP 주소 자원을 보다 효율적으로 사용할 수 있다.In addition, although a terminal using the DHCP protocol typically takes a time corresponding to a lease period (maximum of 60 minutes) for IP address retrieval, according to the present invention, it is possible to immediately retrieve a destination IP, .

도 1은 본 발명의 바람직한 실시예에 따라 목적지 IP단말을 보호하기 위한 시스템 구성을 개략적으로 도시한 도면이다.
도 2는 본 발명의 바람직한 실시예에 따른 DHCP 서버의 기능 블록을 예시적으로 도시한 도면이다.
도 3은 본 발명의 바람직한 실시예에 따른 DDoS 탐지 장치를 구성하는 기능 블록을 예시적으로 도시한 도면이다.
도 4는 본 발명의 바람직한 실시예에 따라, DDoS 공격으로부터 클라이언트 단말을 보호하기 위한 시스템의 메시지 플로우를 예시적으로 도시한 절차도이다. 1 is a diagram schematically showing a system configuration for protecting a destination IP terminal according to a preferred embodiment of the present invention.
2 is a functional block diagram of a DHCP server according to an exemplary embodiment of the present invention.
3 is a block diagram illustrating a functional block of a DDoS detection apparatus according to an exemplary embodiment of the present invention.
4 is a flow diagram illustrating an exemplary message flow of a system for protecting a client terminal against a DDoS attack, in accordance with a preferred embodiment of the present invention.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings.

본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

도 1은 본 발명의 바람직한 실시예에 따라 목적지 IP단말을 보호하기 위한 시스템 구성을 개략적으로 도시한 도면이다.1 is a diagram schematically showing a system configuration for protecting a destination IP terminal according to a preferred embodiment of the present invention.

예컨대, 좀비 PC(10)와 같은 하나 또는 다수의 외부 단말에 의하여 DoS/DDoS 등의 부정 액세스 공격(이하 'DDoS'라 함)이 발생하면, 상기 공격 단말이 생성한 트래픽은 상기 고객 수용 라우터(110) 및/또는 L2 스위치(120) 등의 고객 수용 장비를 거쳐 클라이언트 단말(예컨대 124)로 전송된다. 이 때, 고객 수용 라우터(110)와 L2 스위치(120) 간 고객 수용 회선의 대역폭이 소진되고, 해당 클라이언트 단말은 CPU의 과부하 또는 메모리의 소진 등으로 인해 인터넷 사용이 불가하게 된다. 또한, 고객 수용 장비의 대역폭 소진으로 고객 수용 장비에 속하는 다른 단말(예컨대 122) 또한 인터넷의 사용이 불가능하게 된다. For example, when a malicious access attack (hereinafter referred to as "DDoS") such as DoS / DDoS occurs by one or a plurality of external terminals such as the zombie PC 10, traffic generated by the attacking terminal is transmitted to the customer acceptance router (E.g., 124) via a customer acceptance device, such as an L2 switch 120 and / or an L2 switch 120, for example. At this time, the bandwidth of the customer acceptance line between the customer acceptance router 110 and the L2 switch 120 is exhausted, and the client terminal becomes unable to use the Internet due to overload of the CPU or exhaustion of the memory. Also, due to the exhaustion of the bandwidth of the customer acceptance device, other terminals (e.g., 122) belonging to the customer acceptance device are also unable to use the Internet.

이와 같은 DDoS 공격 상황에서, 본 발명은 DHCP 프로토콜을 사용하는 클라이언트 단말을 보호하기 위하여, DHCP 서버(200) 및 DDoS 방호 장비(300)를 연계하여 DHCP 클라이언트 단말의 네트워크 접속을 유지할 수 있게 한다. In this DDoS attack situation, in order to protect a client terminal using the DHCP protocol, the DHCP server 200 and the DDoS protection device 300 are linked to maintain the network connection of the DHCP client terminal.

도시된 바와 같이, 본 발명의 시스템은 IP 네트워크(100)상의 IP 주소를 관리하는 DHCP 서버(200), DDoS 방호 장비(300)를 포함하여 구성된다.As shown, the system of the present invention includes a DHCP server 200 for managing an IP address on the IP network 100, and a DDoS protection equipment 300.

DHCP(Dynamic Host Configuration Protocol)는 네트워크 관리자들이 조직 내의 네트워크 상에서 IP 주소를 중앙에서 관리하고 할당해줄 수 있도록 해주는 프로토콜이다. Dynamic Host Configuration Protocol (DHCP) is a protocol that allows network administrators to centrally manage and assign IP addresses on a network within an organization.

상기 DHCP 서버(200)는 DHCP 프로토콜에 따라 고객 수용 라우터(110) 및/또는 L2 스위치(120)를 개재하여 IP 네트워크(100)에 접속하는 DHCP 클라이언트 단말(122, 124)에 대하여 IP 주소를 할당하는 데, 그 통상적 과정은 다음과 같다. The DHCP server 200 allocates an IP address to the DHCP client terminals 122 and 124 that access the IP network 100 through the customer acceptance router 110 and / or the L2 switch 120 according to the DHCP protocol The usual process is as follows.

DHCP 서버(101)는 IP 네트워크(100)에 대해 할당 가능한 가용 IP 주소군을 미리 관리하고 있다. 클라이언트 단말(122, 124)은 고객수용 라우터(110) 및/또는 L2 스위치(120)를 개재하여 DHCP 서버(101)에 클라이언트 단말(122, 124) DHCP 서버(101)에 각각 액세스하여 IP 주소의 할당을 요구한다. 이 요구에 응하여, 상기 DHCP 서버(200)는 가용 IP 주소군 중에서 할당된 IP 주소를 클라이언트 단말에 각각 통지한다. 이 때, DHCP 서버(101)는 클라이언트 단말을 수용하는 라우터(110) 및/또는 L2 스위치(120) 등의 인터페이스 식별자, 즉 수용 위치 정보와 할당된 IP 주소와의 관계를 관리할 수 있다. 상기 DHCP 서버(200)는 클라이언트 단말(122, 124)을 식별하기 위해서 별도의 식별자를 이용할 수 있다. 보다 구체적으로, 클라이언트 단말은 최초 기동 시 MAC 주소 등의 링크 레이어 주소에 근거해 클라이언트 식별자를 생성하여 IP 주소 할당 요구를 DHCP 서버에 통지할 수 있다. DHCP 서버는 IP 주소 할당 시 클라이언트 단말 식별자, 할당된 IP 주소, IP 주소를 할당한 인터페이스의 정보를 관련하여 관리한다. 수용 위치 정보로는 클라이언트 단말기를 수용하는 라우터의 식별자나 클라이언트 단말이 접속되고 있는 인터페이스의 인터페이스 식별자 등이 사용될 수 있다. DHCP 서버(200)는 클라이언트 단말 식별자, 할당 IP 주소 및 유효 기간을 클라이언트 단말에 송신하고 클라이언트 단말은 수신한 IP 주소를 설정한다.The DHCP server 101 manages in advance a group of available IP addresses that can be allocated to the IP network 100. The client terminals 122 and 124 access the DHCP server 101 via the customer acceptance router 110 and / or the L2 switch 120 respectively to the client terminals 122 and 124 and the DHCP server 101, Request allocation. In response to this request, the DHCP server 200 notifies the client terminal of the IP address allocated among the available IP address groups, respectively. At this time, the DHCP server 101 can manage the interface identifier of the router 110 and / or the L2 switch 120 that accepts the client terminal, that is, the relationship between the accepted location information and the assigned IP address. The DHCP server 200 may use a separate identifier to identify the client terminal 122, 124. More specifically, the client terminal can generate a client identifier based on a link layer address such as a MAC address at the time of initial activation, and notify the DHCP server of an IP address assignment request. The DHCP server manages information related to an interface to which a client terminal identifier, an assigned IP address, and an IP address are assigned when an IP address is assigned. The acceptance location information may include an identifier of a router that accepts a client terminal, an interface identifier of an interface to which the client terminal is connected, and the like. The DHCP server 200 transmits the client terminal identifier, the assigned IP address, and the validity period to the client terminal, and the client terminal sets the received IP address.

DHCP 서버(200)는 할당된 IP 주소가 일정한 시간 동안 그 컴퓨터에 유효하도록 하는 "임대"의 개념을 사용한다. DHCP 서버(200)는 클라이언트 단말(122, 124)로부터 IP 주소의 유효기한 연장 요구를 수신하고, IP 주소, 클라이언트 단말 식별자 및 수용 위치 정보의 관계를 확인하여 정당한 클라이언트 단말(122, 124)에 대하여 해당 IP 주소의 유효기한을 연장한다. The DHCP server 200 uses the concept of "lease " in which the assigned IP address is valid for the computer for a certain period of time. The DHCP server 200 receives the validity extension request of the IP address from the client terminals 122 and 124 and confirms the relationship between the IP address, the client terminal identifier and the acceptance position information and transmits the validity extension request to the legitimate client terminals 122 and 124 Extend the validity period of the IP address.

또, DHCP 서버(200)는 클라이언트 단말의 IP 주소가 불필요하게 되었을 경우, 클라이언트 단말로부터 IP 주소의 해제 요구(Release request)를 수신하고IP 주소 할당시의 IP 주소, 클라이언트 단말의 식별자, 수용 위치 정보, 인터페이스 등의 할당 정보를 삭제하고, 해당 IP 주소를 재할당 가능한 상태로 유지한다.When the IP address of the client terminal becomes unnecessary, the DHCP server 200 receives an IP address release request from the client terminal and obtains an IP address at the time of IP address assignment, an identifier of the client terminal, , Interfaces, and the like, and maintains the IP address in a reassignable state.

또한, 본 발명에서 상기 DHCP 서버(200)는 IP 주소가 할당된 클라이언트 단말이 DDoS 공격의 목적지 IP인 경우, 해당 단말의 목적지 IP 주소를 다른 IP 주소로 변경하도록 동작한다. 이 변경 과정은 기존 IP 주소의 회수 및 새로운 IP 주소의 할당에 의해 수행될 수 있다. Also, in the present invention, when the client terminal to which the IP address is allocated is the destination IP of the DDoS attack, the DHCP server 200 operates to change the destination IP address of the corresponding terminal to another IP address. This change process can be performed by retrieving an existing IP address and assigning a new IP address.

본 발명에서 상술한 기능 및 본 발명의 바람직한 실시예의 구성을 수행하기 위한 DHCP 서버(200)의 예시적인 기능 블록을 도 2에 간략히 도시하였다. Exemplary functional blocks of the DHCP server 200 for performing the functions described above and the configuration of the preferred embodiment of the present invention are shown in FIG.

도시된 바와 같이, DHCP 서버(200)는 DHCP 메시지 처리부(210) 및 주소 자원 관리부(220)를 포함하여 구성될 수 있다. As shown in the figure, the DHCP server 200 may include a DHCP message processing unit 210 and an address resource management unit 220.

상기 DHCP 메시지 처리부(210)는 전술한 바와 같은 클라이언트 단말로부터의 IP 주소 할당 요구(Assignment Request) 및 주소 해제 요구(Release Request) 등을 수신하여 처리한다. The DHCP message processing unit 210 receives and processes an IP address assignment request and an address release request from the client terminal as described above.

또한, 상기 메시지 처리부(210)는 상기 DDoS 방호 장비(300)로부터의 DDoS 공격 감지 메시지를 수신하고, 해당 클라이언트 단말로 IP 주소 회수 통지 메시지를 송신한다. 상기 메시지 처리부(210)는 상기 회수 통지 메시지에 응답하는 상기 클라이언트 단말로부터의 주소 변경 요청 메시지를 처리하며, 변경된 IP 주소를 상기 클라이언트 단말에 재할당하는 메시지를 송신한다. Also, the message processor 210 receives the DDoS attack detection message from the DDoS protection device 300 and transmits an IP address recovery notification message to the corresponding client terminal. The message processing unit 210 processes the address change request message from the client terminal in response to the collection notification message and transmits a message for reassigning the changed IP address to the client terminal.

또한, 상기 주소 자원 관리부(220)는 가용 IP 주소 자원, 개별 IP 주소의 할당 상태 정보를 관리한다. 본 발명에서 상기 할당 상태 정보는 클라이언트 단말 식별자, 할당된 IP 주소, IP 주소를 할당한 인터페이스의 정보를 포함할 수 있다. 또한, 상기 주소 자원 관리부(220)는 가용 IP 주소 자원 중 DDoS 공격에 노출된 IP 주소를 할당 유보 상태로 관리할 수 있다. Also, the address resource management unit 220 manages available IP address resources and individual IP address allocation status information. In the present invention, the allocation status information may include information of a client terminal identifier, an assigned IP address, and an interface to which an IP address is allocated. Also, the address resource management unit 220 can manage an IP address exposed to a DDoS attack among the available IP address resources in an allocation reservation state.

다시 도 1을 참조하면, 상기 DDoS 방호 장비(300)는 DDoS 탐지 장치(310) 및 DDoS 차단 장치(320)을 포함하여 구성될 수 있다. Referring again to FIG. 1, the DDoS protection apparatus 300 may include a DDoS detection apparatus 310 and a DDoS blocking apparatus 320.

DDoS 탐지 장치(310)는 IP 네트워크(100)의 트래픽을 감시하여 DDoS 공격 여부를 판별한다. 또한, 상기 DDoS 차단 장치(320)는 특정 목적지 IP로의 트래픽이 DDoS 공격으로 판별되는 경우 해당 목적지 IP로 전송되는 패킷들을 폐기한다. 또한, 상기 DDoS 탐지 장치(310)는 DDoS 공격 대상 목적지 IP에 관한 정보 또는 이를 포함한 공격 대상 단말의 IP 주소 변경 명령을 상기 DHCP 서버(200)로 통지한다. The DDoS detection device 310 monitors the traffic of the IP network 100 to determine whether or not it is a DDoS attack. In addition, when the DDoS blocking device 320 determines that the traffic to a specific destination IP is a DDoS attack, the DDoS blocking device 320 discards packets transmitted to the destination IP. Also, the DDoS detection device 310 notifies the DHCP server 200 of the information about the destination IP address of the DDoS attack target or the IP address change command of the attack target terminal including the destination IP address.

도 3은 본 발명의 바람직한 실시예에 따른 DDoS 탐지 장치(310)를 구성하는 기능 블록을 예시적으로 도시한 도면이다.3 is a block diagram illustrating a functional block of the DDoS detection apparatus 310 according to an exemplary embodiment of the present invention.

도시된 바와 같이, 상기 DDoS 탐지 장치(310)는 정보 수집부(312), 검사부(314) 및 DDoS 통지부(316)를 포함하여 구성될 수 있다. As shown in the figure, the DDoS detecting apparatus 310 may include an information collecting unit 312, an examining unit 314, and a DDoS notifying unit 316.

상기 정보 수집부(310)는 IP 네트워크의 트래픽 정보를 수집한다. 예컨대, 상기 트래픽 정보는 목적지 IP 주소, 소스 IP 주소 및 단위 시간 동안 입력되는 패킷 개수, 트래픽의 변화 비율 등을 포함할 수 있다. 또한, 그 밖에도 플로우 개수, 바이트 개수 등이 이용될 수 있을 것이다. The information collecting unit 310 collects traffic information of the IP network. For example, the traffic information may include a destination IP address, a source IP address, a number of packets input during a unit time, a change rate of traffic, and the like. In addition, the number of flows, the number of bytes, and the like may be used.

상기 검사부(312)는 상기 트래픽 정보로부터 DDoS 공격 여부를 판별한다. DDoS 여부의 판단에는 이 분야의 전형적인 방식을 포함하는 다양한 방식이 적용될 수 있다. 예컨대, DDoS 공격 여부는 전술한 트래픽 정보로부터 계산된 발생 확률로 수치화 될 수 있고, 소정 확률을 초과하는 경우 DDoS 공격으로 판단될 수 있을 것이다. The checking unit 312 determines whether a DDoS attack is made based on the traffic information. Various methods can be applied to the determination of DDoS, including a typical method in this field. For example, whether or not a DDoS attack can be quantified by the occurrence probability calculated from the above-described traffic information, and if it exceeds a predetermined probability, it can be judged as a DDoS attack.

상기 검사부(312)에 의해 DDoS 공격이 있는 것으로 판단되면, 상기 DDoS 통지부(314)는 상기 DHCP 서버로 DDoS 공격 정보를 통지한다. 이 통지 정보는 DDoS 공격 대상 단말의 목적지 IP 주소를 포함한다. If it is determined by the checking unit 312 that there is a DDoS attack, the DDoS notification unit 314 notifies the DHCP server of the DDoS attack information. This notification information includes the destination IP address of the DDoS attack target terminal.

이하에서는, 도 4를 참조하며, DDoS 공격으로부터 클라이언트 단말을 보호하기 위한 시스템의 동작을 설명한다.Hereinafter, the operation of the system for protecting the client terminal from the DDoS attack will be described with reference to FIG.

도 4를 참조하면, IP 네트워크를 통하여 특정 목적지 IP주소로 DDoS 공격이 발생하면, IP 네트워크를 감시하는 상기 DDoS 방호 장비(300)는 이를 감지한다( S100 ). Referring to FIG. 4, when a DDoS attack occurs to a specific destination IP address through the IP network, the DDoS protection device 300 monitoring the IP network senses the DDoS attack ( S100 ) .

상기 DDoS 방호 장비(300)는 상기 DHCP 서버로 공격 대상이 되는 목적지 IP에 대한 DDoS 공격이 발생하였음을 알리고, 상기 목적지 IP 대신 다른 IP를 재할당하기 위한 실행 명령을 전송한다(S110). 상기 실행 명령에는 목적지 IP 주소가 포함된다.The DDoS protection apparatus 300 informs the DHCP server of the occurrence of a DDoS attack on the destination IP to be attacked and transmits an execution command for reallocating another IP instead of the destination IP in operation S110. The execution command includes a destination IP address.

상기 실행 명령을 수신한 DHCP 서버(200)는 IP 자원 관리부의 가용 IP 자원에서 목적지 IP 주소를 배제한다(S112). 이것은 가용 IP 자원에서 목적지 IP 주소를 제외하는 방식으로 수행될 수 있으며, 제외된 목적지 IP주소는 별도의 리스트로 관리될 수 있다. 이와 달리 해당 IP 주소의 상태를 인지 가능한 방식으로 변경함으로써 수행될 수도 있을 것이다. Upon receiving the execution command, the DHCP server 200 excludes the destination IP address from the available IP resources of the IP resource management unit (S112). This can be done by excluding the destination IP address from the available IP resources, and the excluded destination IP address can be managed as a separate list. Alternatively, it may be performed by changing the state of the IP address in a recognizable manner.

본 발명에 따르면, 상기 가용 IP 자원에서 목적지 IP 주소가 배제(S112)되더라도 공격 대상 클라이언트 단말(122, 124)은 IP 주소를 잃거나 단말의 인터넷 접속이 해제되는 것이 아니라는 점을 본 발명이 속한 기술 분야의 통상의 기술자라면 잘 알 수 있을 것이다. 왜냐하면, 상기 공격 대상 클라이언트 단말(122, 124)은 여전히 기 설정된 IP 주소를 보유하고 있으며, 이 IP 주소로 네트워크와 연결될 수 있기 때문이다. According to the present invention, even if the destination IP address is excluded from the available IP resources (S112), the attack target client terminal 122 or 124 does not lose the IP address or the Internet connection of the terminal is released. One of ordinary skill in the art will readily recognize this. This is because the attack target client terminals 122 and 124 still have predetermined IP addresses and can be connected to the network by this IP address.

이어서, 상기 DHCP 서버(200)는 해당 목적지 IP에 대응하는 클라이언트 단말로 목적지 IP 주소 회수 통보 메시지를 전송한다(S114). 한편, 본 발명에서는 해당 목적지 IP를 가용 IP 자원에서 배제한 후, 곧 IP 주소 회수 통보 메시지를 전송한다. 이것은 해당 클라이언트 단말이 임대 기간(예컨대 60분)의 연장을 요청하는 Renewal Time(예컨대 30분) 요청 하기 이전에 새로운 IP 주소를 재할당할 수 있게 한다.Then, the DHCP server 200 transmits a destination IP address recovery notification message to the client terminal corresponding to the destination IP (S114). In the present invention, the destination IP is excluded from the available IP resources, and the IP address withdrawal notification message is transmitted soon. This allows the client terminal to reassign a new IP address before requesting a Renewal Time (e.g., 30 minutes) requesting an extension of the lease period (e.g., 60 minutes).

상기 목적지 IP의 클라이언트 단말(122, 124)은 회수 통보 메시지를 수신하면, 상기 DHCP 서버로 IP 주소 재할당 요청 메시지(DHCP REQUEST Packet)를 전송한다( S116 ). Upon receiving the recovery notice message, the client terminal 122 or 124 of the destination IP transmits an IP address re-allocation request message (DHCP REQUEST packet) to the DHCP server ( S116 ) .

상기 DHCP 서버가 상기 IP 주소 재할당 요청 메시지를 수신하면, 상기 DHCP 서버(200)는 가용 IP 자원을 탐색하여, 상기 클라이언트 단말에 대응하는 새로운 IP 주소를 재할당한다(S118). 상기 IP 주소의 재할당은 IP 주소의 할당과 동일한 방법으로 수행될 수 있다. 즉, 상기 DHCP 서버의 IP 자원 관리부가 할당된 IP 주소, 클라이언트 단말 식별자 및 수용 위치 정보를 설정 및 저장함으로써 수행될 수 있다. When the DHCP server receives the IP address reassignment request message, the DHCP server 200 searches for available IP resources and reassigns a new IP address corresponding to the client terminal (S118). The reallocation of the IP address may be performed in the same manner as the allocation of the IP address. That is, the IP resource management unit of the DHCP server may set and store the assigned IP address, client terminal identifier, and location information.

IP 주소의 재할당이 완료되면, 상기 DHCP 서버(200)는 새로운 IP 주소를 할당하는 메시지(DHCP ACK Packet)를 해당 클라이언트 단말로 전송한다(S120). IP 주소를 수신한 클라이언트 단말(122, 124)은 기존 IP 주소를 수신된 IP 주소로 변경한다(S122). When the reallocation of the IP address is completed, the DHCP server 200 transmits a DHCP ACK packet to the corresponding client terminal (S120). The client terminal 122, 124 receiving the IP address changes the existing IP address to the received IP address (S122).

본 발명에 따르면, 네트워크 단에서 DDoS 공격을 감지하고, 해당 목적지 IP의 클라이언트 단말의 IP 주소를 변경한다. 즉 DDoS 등의 공격에 따라 대상 단말의 상위장비 즉 네트워크단의 장비가 부하로 인해 장애가 일어나기 전에 DDoS 공격을 차단 절차를 진행할 수 있다. 이것은 고객 단말이나 고객 단말 종단 장비에서 CPU 부하를 측정하여 IP를 변경하는 방식에 비해 네트워크 및 고객 단말에 대한 실질적인 보호가 가능하게 한다.According to the present invention, a DDoS attack is detected at a network end and the IP address of the client terminal of the destination IP is changed. In other words, according to an attack such as DDoS, the upper equipment of the target terminal, that is, the equipment at the network end, can proceed the process of blocking the DDoS attack before the failure occurs due to the load. This allows substantial protection against network and customer terminals, as compared to the way in which the CPU load is measured in a customer terminal or a customer terminal end device to change the IP.

또한, 본 발명에 따르면, DDoS 공격의 대상이 되는 목적지 IP를 가용 IP 자원에서 배제함으로써 해당 목적지 IP가 재할당되는 것을 방지할 수 있다. 또한 DDoS 공격 감지 후 새로운 IP가 재할당 될 때까지 해당 클라이언트 단말과 해당 장비에 수용된 다른 단말의 네트워크 접속이 유지되어 인터넷을 계속 사용할 수 있게 된다.In addition, according to the present invention, it is possible to prevent the destination IP from being reallocated by excluding the destination IP that is the target of the DDoS attack from the available IP resources. Also, until the new IP is reassigned after detecting the DDoS attack, the network connection between the client terminal and the other terminal accommodated in the corresponding device is maintained and the Internet can be continuously used.

이상과 같이, 상기 클라이언트 단말(122, 124)로 새로운 IP 주소를 통보한 후, 상기 DHCP 서버는 상기 DDoS 방호 장비(300)로 목적지 IP의 주소 재할당 절차가 완료되었음을 통보한다(S124). 주소 재할당 통보를 수신한 상기 DDoS 방호 장비(300)는 변경전의 목적지 IP 주소로 전송되는 패킷을 DHCP 차단 장치(320)로 우회시켜 폐기한다(S190). After notifying the client terminal 122 or 124 of the new IP address, the DHCP server informs the DDoS protection device 300 that the destination IP address reallocation procedure is completed (S124). Upon receiving the address reallocation notification, the DDoS protection device 300 bypasses the packet transmitted to the destination IP address before the change to the DHCP interception device 320 (S190).

한편, 상기 가용 IP 자원에서 배제된 목적지 IP 주소는 DDoS 공격이 중단된 후 가용 IP 자원으로 복귀될 수 있다. 이를 위해 상기 DDoS 탐지 장치(310)는 네트워크상의 트래픽을 모니터링하여 DDoS 공격의 종료 여부를 판단할 수 있다. 해당 목적지 IP에 대한 공격이 종료된 것으로 판단되는 경우, 상기 DDoS 탐지 장치(310)는 상기 DHCP 서버(200)로 DDoS 공격이 종료되었음을 통지하고, 이 통지에 근거하여 상기 DHCP 서버(200)는 제외된 목적지 IP 주소를 가용 IP 자원에 복귀시킬 수 있다.Meanwhile, the destination IP address excluded from the available IP resources may be returned to the available IP resources after the DDoS attack is stopped. For this, the DDoS detection apparatus 310 may monitor the traffic on the network to determine whether the DDoS attack is terminated. The DDoS detection apparatus 310 notifies the DHCP server 200 of the completion of the DDoS attack and excludes the DHCP server 200 based on the notification Lt; RTI ID = 0.0 > IP < / RTI > resources.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
The foregoing description is merely illustrative of the technical idea of the present invention, and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments of the present invention are not intended to limit the scope of the present invention but to limit the scope of the present invention. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents thereof should be construed as being included in the scope of the present invention.

100 IP 네트워크
110 고객 수용 라우터
120 L2 스위치
122, 124 클라이언트 단말
200 DHCP 서버
210 DHCP 메시지 처리부
220 주소 자원 관리부
300 DDoS 방호 장비
310 DDoS 탐지 장치
312 정보 수집부
314 검사부
316 통지부
320 DDoS 차단 장치100 IP network
110 Customer acceptance router
120 L2 switch
122, 124 Client terminal
200 DHCP server
210 DHCP message processor
220 Address resource manager
300 DDoS protection equipment
310 DDoS detection device
312 Information collecting section
314 Inspector
316 Notification section
320 DDoS blocking device

Claims (10)

클라이언트 단말에 할당 가능한 가용 IP 자원을 관리하는 단계;
IP 네트워크에 연결된 DoS/DDoS 방호 장비에서 상기 IP 네트워크상의 트래픽을 모니터링 하여 제1 IP 주소에 대한 DoS/DDoS 공격을 감지하는 경우, 상기 DoS/DDoS 공격의 대상이 되는 제1 IP 주소에 관한 정보를 포함하는 IP 주소 재할당 실행 명령을 상기 DoS/DDoS 방호 장비로부터 수신하는 단계;
상기 IP 주소 재할당 실행 명령이 수신된 경우, 상기 제1 IP 주소를 가용 IP 자원에서 배제하는 단계;
상기 제1 IP 주소의 클라이언트 단말에 IP 주소 회수 요청 메시지를 전송하는 단계;
상기 IP 주소 회수 요청 메시지에 대한 응답으로, 상기 클라이언트 단말로부터 IP 주소 재할당 요청 메시지를 수신하는 단계;
상기 IP 주소 재할당 요청 메시지에 대응하여, 상기 가용 IP 자원 중 제2 IP 주소를 상기 클라이언트 단말에 재할당하는 단계;
상기 제2 IP 주소를 포함하는 IP 주소 할당 메시지를 상기 클라이언트 단말에 전송하는 단계; 및
상기 제2 IP 주소를 상기 클라이언트 단말에 재할당한 이후에 상기 DoS/DDoS 방호 장비에서 상기 제1 IP 주소로 전송되는 패킷을 폐기하도록, IP 주소 재할당 완료 통지 메시지를 상기 DoS/DDoS 방호 장비로 전송하는 단계;를 포함하는 DHCP 서버에서의 가용 IP 자원 관리 방법.Managing available IP resources allocatable to client terminals;
DDOS attack against a first IP address by monitoring traffic on the IP network from a DoS / DDoS protection device connected to the IP network, the information about the first IP address that is a target of the DoS / DDoS attack Receiving an IP address reallocation execution command from the DoS / DDoS protection equipment;
If the IP address reallocation execute command is received, excluding the first IP address from the available IP resources;
Transmitting an IP address recovery request message to the client terminal of the first IP address;
Receiving an IP address reassignment request message from the client terminal in response to the IP address withdrawal request message;
Reassigning a second IP address of the available IP resources to the client terminal in response to the IP address relocation request message;
Transmitting an IP address assignment message including the second IP address to the client terminal; And
The IP address reassignment completion notification message is transmitted to the DoS / DDoS protection equipment so as to discard the packet transmitted from the DoS / DDoS protection equipment to the first IP address after reassigning the second IP address to the client terminal. A method for managing available IP resources in a DHCP server. 삭제delete 제1항에 있어서,
상기 가용 IP 자원에서 배제하는 단계는,
상기 제1 IP 주소를 상기 가용 IP 자원에서 삭제하는 단계를 포함하는 것을 특징으로 하는 DHCP 서버에서의 가용 IP 자원 관리 방법.The method according to claim 1,
The step of excluding from the available IP resources comprises:
And deleting the first IP address from the available IP resources. 제1항에 있어서,
IP 네트워크상의 트래픽을 모니터링 하여 상기 제1 IP 주소에 대한 DoS/DDoS 공격이 종료된 경우, DHCP 서버가 상기 제1 IP 주소를 가용 IP 자원에 포함시키는 단계를 더 포함하는 것을 특징으로 하는 DHCP 서버에서의 가용 IP 자원 관리 방법.The method according to claim 1,
Further comprising the step of the DHCP server including the first IP address in the available IP resources when the DoS / DDoS attack for the first IP address is terminated by monitoring traffic on the IP network. A method for managing available IP resources. IP 네트워크에 연결된 DoS/DDoS 방호 장비에서 상기 IP 네트워크상의 트래픽을 모니터링 하여 제1 IP 주소에 대한 DoS/DDoS 공격을 감지하고, 상기 DoS/DDoS 공격의 대상이 되는 제1 IP 주소에 관한 정보를 포함하는 IP 주소 재할당 실행 명령을 DHCP 서버로 전송하는 단계;
상기 DHCP 서버에서, 상기 IP 주소 재할당 실행 명령을 수신한 경우, 상기 제1 IP 주소를 가용 IP 자원에서 배제하는 단계;
상기 DHCP 서버에서, 상기 제1 IP 주소의 클라이언트 단말로 IP 주소 회수 요청 메시지를 전송하는 단계;
상기 DHCP 서버에서, 상기 클라이언트 단말의 IP 주소를 상기 가용 IP 자원의 제2 IP 주소로 변경하는 단계; 및
상기 DHCP 서버로부터 IP 주소 재할당 완료 통지 메시지를 수신한 경우, 상기 DoS/DDoS 방호 장비에서 상기 제1 IP 주소로 전송되는 패킷을 폐기하는 단계를 포함하고,
상기 변경 단계는,
상기 IP 주소 회수 요청 메시지에 대한 응답으로, 상기 클라이언트 단말에서 상기 DHCP 서버로 IP 주소 재할당 요청 메시지를 전송하는 단계;
상기 IP 주소 재할당 요청 메시지에 대응하여, 상기 DHCP 서버에서 상기 제2 IP 주소를 상기 클라이언트 단말의 새로운 IP 주소로 설정하는 단계; 및
상기 DHCP 서버에서 상기 제2 IP 주소를 포함하는 IP 주소 할당 메시지를 상기 클라이언트 단말로 전송하는 단계를 포함하는 것을 특징으로 하는 DoS/DDoS 공격 방호 방법.A DoS / DDoS protection device connected to an IP network monitors traffic on the IP network to detect a DoS / DDoS attack on a first IP address, and includes information on a first IP address that is a target of the DoS / DDoS attack Transmitting an IP address reallocation execution command to a DHCP server;
If the DHCP server has received the IP address reallocation command, excluding the first IP address from the available IP resources;
Transmitting, in the DHCP server, an IP address recovery request message to the client terminal of the first IP address;
Changing the IP address of the client terminal to a second IP address of the available IP resource in the DHCP server; And
And discarding a packet transmitted from the DoS / DDoS protection device to the first IP address when the IP address reallocation completion notification message is received from the DHCP server,
In the changing step,
Transmitting an IP address reassignment request message from the client terminal to the DHCP server in response to the IP address recovery request message;
Setting the second IP address to a new IP address of the client terminal in response to the IP address relocation request message; And
And transmitting an IP address assignment message including the second IP address from the DHCP server to the client terminal. 삭제delete 삭제delete IP 네트워크에 연결되어, DHCP 클라이언트 단말들에 할당될 IP 주소들을 관리하는 IP 자원 관리부와 상기 클라이언트 단말들로부터의 IP 할당 요청을 처리하는 DHCP 메시지 처리부를 포함하는 DHCP 서버에 있어서,
상기 DHCP 메시지 처리부는, 상기 IP 네트워크에 연결된 DoS/DDoS 방호 장비에서 상기 IP 네트워크상의 트래픽을 모니터링 하여 제1 IP 주소에 대한 DoS/DDoS 공격을 감지하는 경우, 상기 DoS/DDoS 방호 장비로부터 상기 DoS/DDoS 공격의 대상이 되는 제1 IP 주소에 관한 정보를 포함하는 IP 주소 재할당 실행 명령을 수신하고, 상기 제1 IP 주소의 클라이언트 단말로 IP 주소 회수 요청 메시지를 전송하며, 상기 IP 주소 회수 요청 메시지에 대한 응답으로, 상기 제1 IP 주소의 클라이언트 단말로부터 IP 주소 재할당 요청 메시지를 수신하고,
상기 IP 자원 관리부는, 상기 IP 주소 재할당 요청 메시지의 수신에 대응하여, 가용 IP 자원 중 상기 제1 IP 주소를 배제한 제2 IP 주소를 상기 제1 IP 주소의 클라이언트 단말에 대해 설정하고,
상기 DHCP 메시지 처리부는, 상기 제2 IP 주소를 포함하는 IP 주소 할당 메시지를 상기 제1 IP 주소의 클라이언트 단말에 전송하며, 상기 제2 IP 주소를 상기 제1 IP 주소의 클라이언트 단말에 재할당한 이후에 상기 DoS/DDoS 방호 장비에서 상기 제1 IP 주소로 전송되는 패킷을 폐기하도록, IP 주소 재할당 완료 통지 메시지를 상기 DoS/DDoS 방호 장비로 전송하는 것을 특징으로 하는 DHCP 서버.1. A DHCP server connected to an IP network and including an IP resource management unit for managing IP addresses to be allocated to DHCP client terminals and a DHCP message processing unit for processing an IP allocation request from the client terminals,
The DHCP message processing unit monitors the traffic on the IP network from the DoS / DDoS protection equipment connected to the IP network and detects a DoS / DDoS attack for the first IP address. The DoS / Receiving an IP address reallocation execution command including information on a first IP address that is a target of a DDoS attack, transmitting an IP address recovery request message to the client terminal of the first IP address, Receives an IP address reassignment request message from the client terminal of the first IP address in response to the IP address reassignment request message,
Wherein the IP resource management unit sets a second IP address of the available IP resources excluding the first IP address for the client terminal of the first IP address in response to the reception of the IP address relocation request message,
The DHCP message processing unit transmits an IP address assignment message including the second IP address to the client terminal of the first IP address and reassigns the second IP address to the client terminal of the first IP address To the DoS / DDoS protection device, an IP address reallocation completion notification message to discard a packet transmitted from the DoS / DDoS protection device to the first IP address. 삭제delete 제8항에 있어서,
상기 DHCP 메시지 처리부는 상기 제2 IP 주소를 상기 제1 IP 주소의 클라이언트 단말로 전송한 후, 상기 제1 IP 주소로 전송되는 패킷을 폐기하기 위한 메시지를 상기 DoS/DDoS 방호 장비로 전송하는 것을 특징으로 하는 DHCP 서버.9. The method of claim 8,
The DHCP message processing unit transmits a message for discarding a packet transmitted in the first IP address to the DoS / DDoS protection equipment after transmitting the second IP address to the client terminal of the first IP address A DHCP server with.
KR1020130125086A 2013-10-21 2013-10-21 Management Methods of IP Address Resources For DDoS, Protection Methods Thereof, And DHCP Server For The Same KR101769447B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130125086A KR101769447B1 (en) 2013-10-21 2013-10-21 Management Methods of IP Address Resources For DDoS, Protection Methods Thereof, And DHCP Server For The Same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130125086A KR101769447B1 (en) 2013-10-21 2013-10-21 Management Methods of IP Address Resources For DDoS, Protection Methods Thereof, And DHCP Server For The Same

Publications (2)

Publication Number Publication Date
KR20150046404A KR20150046404A (en) 2015-04-30
KR101769447B1 true KR101769447B1 (en) 2017-08-22

Family

ID=53037748

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130125086A KR101769447B1 (en) 2013-10-21 2013-10-21 Management Methods of IP Address Resources For DDoS, Protection Methods Thereof, And DHCP Server For The Same

Country Status (1)

Country Link
KR (1) KR101769447B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11201910B2 (en) 2018-05-18 2021-12-14 Hanwha Techwin Co., Ltd. Network security system and method for operating same

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090307485A1 (en) * 2006-11-24 2009-12-10 Panasonic Corporation Method for mitigating denial of service attacks against a home against
JP2011129968A (en) * 2009-12-15 2011-06-30 Panasonic Corp Communication terminal device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090307485A1 (en) * 2006-11-24 2009-12-10 Panasonic Corporation Method for mitigating denial of service attacks against a home against
JP2011129968A (en) * 2009-12-15 2011-06-30 Panasonic Corp Communication terminal device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11201910B2 (en) 2018-05-18 2021-12-14 Hanwha Techwin Co., Ltd. Network security system and method for operating same

Also Published As

Publication number Publication date
KR20150046404A (en) 2015-04-30

Similar Documents

Publication Publication Date Title
KR100992968B1 (en) Network switch and method for protecting ip address conflict thereof
JP5826920B2 (en) Defense method against spoofing attacks using blocking server
JP4545647B2 (en) Attack detection / protection system
EP1723745B1 (en) Isolation approach for network users associated with elevated risk
KR100807933B1 (en) System and method for detecting arp spoofing and computer readable storage medium storing program for detecting arp spoofing
CN108270722B (en) Attack behavior detection method and device
JP6367381B2 (en) Fault-inducing client detection method and system using client routing system
CN112019533A (en) Method and system for relieving DDoS attack on CDN system
KR100533785B1 (en) Method for preventing arp/ip spoofing automatically on the dynamic ip address allocating environment using dhcp packet
CN109327465B (en) Method for safely resisting network hijacking
KR101769447B1 (en) Management Methods of IP Address Resources For DDoS, Protection Methods Thereof, And DHCP Server For The Same
JP6134954B1 (en) Network security device, network management method, and program
KR100591554B1 (en) Method for controlling communication with network resources mamagement policy
KR101214201B1 (en) Apparatus and method for detecting traffic flooding attack using SNMP
JP4767683B2 (en) Relay device, unauthorized access prevention device, and access control program
TWI703835B (en) System and method for provisioning and monitoring virtual machine virtual network interface controller
KR102193588B1 (en) Method and system for protecting DDoS attack
KR20150026187A (en) System and Method for dropper distinction
KR102232761B1 (en) Method and system for detecting client causing network problem using client route control system
JP4081042B2 (en) Unauthorized communication monitoring device and unauthorized communication monitoring program
JP5922622B2 (en) Control device, communication system, and communication control method
JP2006222662A (en) Illegal-access preventive system, method, and program
JP7298438B2 (en) Information processing program, information processing method, and information processing apparatus
JP2017175514A (en) Switch device, address administration method and computer program
KR100651748B1 (en) Apparatus and method for address collision attack detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)