KR20130141192A - Router deploying system in the as for ddos attack defense - Google Patents

Router deploying system in the as for ddos attack defense Download PDF

Info

Publication number
KR20130141192A
KR20130141192A KR1020120064408A KR20120064408A KR20130141192A KR 20130141192 A KR20130141192 A KR 20130141192A KR 1020120064408 A KR1020120064408 A KR 1020120064408A KR 20120064408 A KR20120064408 A KR 20120064408A KR 20130141192 A KR20130141192 A KR 20130141192A
Authority
KR
South Korea
Prior art keywords
routing
internal
mode
router
routing mode
Prior art date
Application number
KR1020120064408A
Other languages
Korean (ko)
Other versions
KR101394383B1 (en
Inventor
김성열
강호석
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Priority to KR1020120064408A priority Critical patent/KR101394383B1/en
Publication of KR20130141192A publication Critical patent/KR20130141192A/en
Application granted granted Critical
Publication of KR101394383B1 publication Critical patent/KR101394383B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to a system and a method of arranging interior routing of AS for DDoS attack protection, in particular, comprises normal routing mode, preventive routing mode and protected routing mode, and relates to a system and a method, of arranging interior routing of AS for DDoS attack protection, which are capable of providing accurate bypass and blockage which were not done at Shield. The present invention in an AS interior routing arrangement system for DDoS attack protection comprises: an sShield operating according to three-step routing mode wherein the three-step routing mode is normal routing mode, preventive routing mode and protected routing mode, and the sShield does not operate and any traffic does not pass through the sShield in ordinary times, converts a mode into the preventive routing mode and changes a path into the sShield when an AS recognizes a suspicious traffic through many paths, and converts the mode into the protected routing mode and blocks the bad traffic when an actual attack is in progress.

Description

디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템 및 그 방법{Router deploying system in the AS for DDoS Attack defense}[0001] The present invention relates to an internal routing arrangement system and a method thereof,

본 발명은 DDoS 방어를 위한 AS 내부 라우팅 배치 시스템 및 그 방법에 대한 것으로서, 보다 상세하게는 공격 위험도에 따라 정상 라우팅 모드, 준비 라우팅 모드, 보호 라우팅 모드의 3단계로 구성되며 Shield에서 하지 못했던 정밀한 단위의 우회와 차단을 제공할 수 있는 DDoS 방어를 위한 AS 내부 라우팅 배치 시스템 및 그 방법에 관한 것이다.More particularly, the present invention relates to a system and method for intra-AS routing for DDoS protection, and more particularly, to a system and method for intra-AS routing arrangement for DDoS protection, which comprises three steps of a normal routing mode, The present invention relates to a system and method for intra-AS routing arrangement for DDoS protection,

인터넷이 널리 퍼지고 서비스가 다양화 되면서 동시에 악의적인 사용자도 꾸준히 증가되고 있다. 또한 공격 방법도 더욱 지능화 되고 종류도 늘고 있다. 특히 DoS(Denial of Service)는 다른 공격의 증가율 보다 세배 이상 많이 증가하고 있다 . 이러한 DoS 공격의은 공격대상은 대상의 서비스를 정상적으로 받을 수 없도록 방해하는 방법으로 특히 네트워크의 자원(Bandwidth)을 소모하기 위한 공격 방법이 많다.As the Internet becomes more widespread and services become more diverse, malicious users are also increasing steadily. In addition, the attack method is more intelligent and the kinds are increasing. Especially, DoS (Denial of Service) is more than triple the increase rate of other attacks. This DoS attack is a method to prevent the attack target from receiving the target service normally, and there are many attack methods for consuming network resources (bandwidth) in particular.

DoS와 DDoS(Distribute Denial of Service) 공격을 막기 위한 방법은 크게 공격 방지(Attack prevention), 공격 탐지(Attack detection), 공격 소스 인식(Attack source identification), 그리고 공격 반응(Attack reaction)의 네 가지 방법이 있다 . 이러한 유형의 공격 방지 기술은 DoS 미리 차단하고, 공격을 탐지하여 막고, 소스의 위치를 확인하여 대응하는 방법들이다.   Attack prevention, Attack detection, Attack source identification, and Attack reaction are two methods to prevent DoS and DDoS (Distributed Denial of Service) attacks. . This type of attack prevention technique is to block DoS in advance, to detect and block the attack, and to confirm the location of the source to respond.

현재의 DDoS는 많은 트래픽이 AS 외부에서부터 들어와 내부 네트워크를 공격하는 형태이다. 하지만 큰 AS의 경우 공격자에 의해 내부에서 만들어진 많은 좀비 PC들에 의하여 AS 내부 네트워크를 공격해 피해자가 발생 할 수 있으므로 대책이 필요하다 . 또 많은 방어 방법이 외부 트래픽이 유입되면 즉각 차단하므로 공격자 입장에서 지속적인 피해를 입히기 힘들다. The current DDoS is a type in which a lot of traffic comes from outside the AS and attacks the internal network. However, in the case of a large AS, a number of zombie PCs built by an attacker may attack the AS internal network, causing a victim. In addition, many defensive methods block external traffic immediately, making it difficult for attackers to suffer constant damage.

이러한 대응을 피하기 위해 공격자가 AS 내부에 많은 리플렉터나 좀비 머신을 확보하여 DDoS 공격을 수행하게 할 가능성이 높다. 만약 AS 내부에서 발생된 악의적인 트래픽으로 인하여 AS 내부 네트워크가 공격을 받는다면 네트워크 자원이 더욱더 빠르게 감소할 수 있고 피해가 더 커질 수 있다.In order to avoid such a response, it is highly likely that an attacker will have many reflectors or zombie machines inside the AS to conduct DDoS attacks. If the AS internal network is attacked by malicious traffic generated inside the AS, the network resources may be reduced more rapidly and the damage may be increased.

도1에서 보는 바와 같이 Shield는 어느 곳이나 설치 가능한 DoS 방어 시스템을 제안하고 있다. 그러나 실제 설치되는 위치는 AS 외부에 BGP(Border Gateway Protocol)를 이용하여 설계되어 있다.As shown in FIG. 1, Shield proposes an installable DoS defense system anywhere. However, the actual installation location is designed using BGP (Border Gateway Protocol) outside the AS.

Shield는 DDoS 공격을 방어하는 방법이 아니라 어디서 방어를 하느냐를 트래픽 우회 기술을 이용하여 설명하였다. Shield is not a defense against DDoS attacks, but rather explains where to defend using traffic bypassing techniques.

트래픽을 우회시키기 위해서는 기존에 사용하는 기술인 트래픽 트래핑(Traffic trapping)과 트래픽 블랙홀(Traffic black-holing)을 사용 하였다.Traffic traps and traffic black-holing are used to bypass traffic.

트래픽 트래핑과 트래픽 블랙홀은 Shield 노드로 방향을 전환하여 정당한 트래픽만 통과시키고 공격자가 보내는 트래픽은 Shield 노드에서 차단하는 개념이다. Traffic trapping and traffic blackholes switch the direction to the shield node, passing only legitimate traffic, and blocking the traffic sent by the attacker from the shield node.

만약 DDoS 공격이 의심스러운 트래픽이 있을 경우 AS는 BGP의 AS-PATH를 수정하여 전달함으로써 Shield 노드로 트래픽 방향을 바꾸게 된다. 실제 DDoS 공격이 발생하면 모든 트래픽을 Shield로 보내고 트래픽을 차단한다. 이러한 Shield를 설치하는 위치는 모든 IXP가 좋을 것이다. 모든 IXP에 설치하지 않는다면 공격이 다른 진입로로 우회할 수 있기 때문이다. 이 외에 Shield는 몇 가지 문제점을 가지고 있다. If the DDoS attack has suspicious traffic, the AS changes the traffic direction to the Shield node by modifying the AS-PATH of the BGP. When an actual DDoS attack occurs, all traffic is sent to the shield and the traffic is blocked. All IXPs will be in a position to install these shields. This is because if you do not install on all IXPs, the attack can be diverted to other access roads. In addition, the shield has some problems.

첫 번째, Shield는 AS 외부밖에 사용할 수 없다. BGP를 이용하여 통제되는 외부와 달리 AS 내부는 라우터들 간에 테이블 교환에 의하여 라우팅이 동작하는 방식이기 때문이다.   First, the shield can only be used outside the AS. In contrast to the outside controlled by BGP, AS is the way in which routing is operated by exchanging tables between routers.

두 번째, DDoS 공격 시 공격자가 보내는 트래픽은 차단하는 것이 맞지만 정상적인 패킷은 목적지까지 도착해야한다. 이를 위해 Shield는 경로가 도달할 수 있는 IP로 터널링을 하거나 소스 라우팅을 이용할 수밖에 없다. 이 방법으로 정상적인 트래픽을 목적지까지 보내게 되면 각 노드와 네트워크는 부하가 증가할 것이다.  Second, in case of a DDoS attack, it is correct to block the traffic sent by the attacker, but a normal packet must arrive at the destination. To do this, the Shield can only tunnel to the reachable IP or use source routing. If normal traffic is sent to the destination in this way, the load on each node and the network will increase.

세 번째, 공격이 자주 올 경우 잦은 AS-PATH의 수정으로 네트워크의 일관성이 약화되고 이를 악용한 공격자가 등장할 경우 Shield 자체가 하나의 네트워크 오버헤드의 원인이 될 수도 있다.  Third, if the attacks are frequent, frequent changes to the AS-PATH will weaken the consistency of the network. If an attacker exploits this, the shield itself may cause a network overhead.

상술한 문제점을 해결하기 위하여 본 발명은 AS 내부에서 sShield들이 서로 협력하면서 AS 외부의 Shield와 함께 DDoS 공격에 대비하여, DDoS 공격의 감시와, 발견 그리고 트래픽 조절에 도움을 줄 수 있는 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템 및 그 방법을 제공하는 데 목적이 있다.In order to solve the above-mentioned problems, the present invention provides a defense against DDoS attacks in cooperation with sshields inside the AS, together with shielding outside the AS, to help monitor, detect, and control traffic of DDoS attacks The present invention is directed to providing an internal routing arrangement system and method therefor.

본 발명은 디도스 방어를 위한 AS내부 라우팅 배치 시스템에 있어서 디도스 방어를 위한 라우터인 sShield를 기존 라우터 사이에 구성 시키는 시스템이다.The present invention is a system for configuring sShield, which is a router for the defense of data, between existing routers in the AS internal routing arrangement system for the DDoS defense.

라우터 A의 포트 S1과 라우터 B와 연결되는 3종류의 라우팅 모드에 따라 동작하는 sShield로 구성된다.And an sShield that operates according to three types of routing modes connected to port S1 of router A and router B, respectively.

본 발명은 네트워크 A와 네트워크 B를 포함하는 디도스 방어를 위한 AS 내부 라우팅 배치 시스템에 있어서, 라우터A와 연결되는 S1과 라우터B와 연결되는 S2를 포함하고, 3 종류의 라우팅 모드에 따라 동작하는 내부라우터(sShield)로 구성된다.The present invention relates to an AS internal routing arrangement system for a DDoS defense including a network A and a network B, which comprises S1 connected to a router A and S2 connected to a router B, and operates in accordance with three types of routing modes And an internal router (sShield).

상기 3 종류의 라우팅 모드는 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode)이다.The three types of routing modes are Normal routing mode, Preventive routing mode, and Protected routing mode.

본 발명은 평상시에는 상기 내부라우터가 동작하지 않는 정상 라우팅 모드이고, 공격으로 의심되는 트래픽을 AS가 여러 경로를 통해 알아냈다면 준비 라우팅 모드로 전환하고 라우팅 경로를 sShield를 거치게 하여, 실제 공격이 진행될 경우 보호 라우팅 모드로 전환하여 공격 트래픽을 차단한다.The present invention is a normal routing mode in which the internal routers do not normally operate. If the AS has learned the traffic suspected of attack through multiple paths, it switches to the prepared routing mode and passes the routing path through sShield, If it is, it switches to protected routing mode and blocks attack traffic.

상기 준비 라우팅 모드는 AS가 판단할 때 여러 곳에서 수집된 정보를 근거로 DDoS 공격 피해지로 의심되는 네트워크가 있을 경우 동작하는 모드이다.The prepared routing mode is a mode that operates when there is a network suspected to be a DDoS attack destination based on information collected from various places when the AS judges.

본 발명은 상기 AS가 네트워크 B에 대한 DDoS공격이 일어나고 있다는 것을 확인하게 되면 AS는 내부라우터에게 보호 라우팅 모드로 변환할 것을 지시하고 필터링 규칙에 맞는 패킷을 전부 내부라우터에서 차단하고, 차단한 트래픽을 제외한 정상적인 패킷들은 아무 수정 없이 내부라우터의 상기 S2를 통해 라우터 B를 거처 목적지에 도달한다.When the AS confirms that the DDoS attack on the network B is occurring, the AS instructs the internal router to convert to the protection routing mode, blocks all packets meeting the filtering rule from the internal router, The normal packets except for reaching the destination via the router B via the S2 of the inner router without any modification.

본 발명은 인터넷 어떠한 위치에도 설치가 가능한 내부라우터를 통하여 3단계의 라우팅 모드에 따라 동작하는 단계로 구성된다.The present invention is configured to operate according to a three-stage routing mode through an internal router that can be installed anywhere on the Internet.

본 발명은 평상시에는 상기 내부라우터가 동작하지 않고 상기 내부라우터로 어떠한 트래픽도 지나가지 않는 정상 라우팅 모드로 동작하는 단계와, 공격으로 의심되는 트래픽을 AS가 여러 경로를 통해 알아냈다면 준비 라우팅 모드로 전환하고 라우팅 경로를 내부라우터로 바꾸는 단계와, 실제 공격이 진행될 경우 보호 라우팅 모드로 전환하여 공격 트래픽을 차단하는 단계를 포함하여 구성된다.The present invention provides a method of operating a router in a normal routing mode in which the internal routers do not normally operate and do not pass any traffic to the internal routers, Switching the routing path to an internal router, and blocking the attack traffic by switching to a protection routing mode when an actual attack progresses.

상기 3단계의 라우팅 모드는 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode)이고, 상기 준비 라우팅 모드는 AS가 판단할 때 여러 곳에서 수집된 정보를 근거로 DDoS 공격 피해지로 의심되는 네트워크가 있을 경우 동작하는 단계이다.The three routing modes are Normal routing mode, Preventive routing mode and Protected routing mode, and the prepared routing mode is collected in various places when the AS judges It is a step that operates when there is a suspected network as a DDoS attack destination based on information.

상기 AS가 네트워크 B에 대한 DDoS공격이 일어나고 있다는 것을 확인하게 되면 AS는 내부라우터에게 보호 라우팅 모드로 변환할 것을 지시하고 필터링 규칙에 맞는 패킷을 전부 내부라우터에서 차단하는 단계와, 상기 차단한 트래픽을 제외한 정상적인 패킷들은 아무 수정 없이 내부라우터를 통해 목적지에 도달하는 단계를 포함하여 구성된다.When the AS confirms that a DDoS attack on the network B is occurring, the AS instructs the internal router to convert to the protection routing mode and blocks all packets matching the filtering rule from the internal router. And excluding the normal packets, arriving at the destination via the internal router without any modification.

본 발명에서 제안한 시스템의 가장 큰 장점으로는 Shield와 함께 공격 방어 시스템의 설치 위치를 결정하는 방법을 제안하였고, 어떠한 위치에도 설치될 수 있는 구조이다. A major advantage of the system proposed in the present invention is a method of determining the installation position of an attack defense system together with a shield, and the structure can be installed at any position.

또한 본 발명은 Shield와 협력한다면 인터넷 어떠한 위치에도 설치가 가능하다.In addition, the present invention can be installed anywhere on the Internet in cooperation with the shield.

또한 본 발명에 따르면 Shield의 경우 터널링이나 소스 라우팅 같은 오버헤드가 많은 방법을 통해서만 정당한 트래픽을 전송할 수 있었지만 sShield는 RIP에 의해 차단하지 않은 트래픽은 목적지까지 도달 할 수 있다.Also, according to the present invention, in the case of Shield, legitimate traffic can be transmitted only through an overhead method such as tunneling or source routing, but sShield can reach the destination without blocking by RIP.

또한 본 발명에 따르면 Shield는 BGP의 한계로 인하여 정밀한 트래픽 조절이 불가능하다. 그러나 RIP의 테이블 업데이트를 이용한 sShield는 공격을 당하는 네트워크 단위로 경로를 우회하고 차단할 수 있어 정밀한 조절이 가능하다. Also, according to the present invention, the Shield is not capable of precise traffic control due to the limitation of BGP. However, using the RIP table update, sShield can bypass and block the path to the attacked network unit, allowing precise control.

그리고 sShield를 제외한 기존 라우터들은 sShield의 존재를 몰라도 되고 라우터를 교체할 필요가 없어 네트워크의 일관성 유지에 도움을 준다.Existing routers except sShield do not need to know the presence of sShield and do not need to replace routers, which helps to maintain network consistency.

또 논리적인 구조가 간단하므로 sShield의 설치 위치를 수시로 변경하여 공격에 방어 할 수 있다.Also, since the logical structure is simple, you can change the installation location of sShield from time to time to defend against attack.

도1은 종래 발명에 따른 Shiled에서의 트래픽 우외와 차단을 보여주는 개념도.
도2는 본 발명의 일실시예에 따라 정상 라우팅 모드에서의 라우팅 테이블을 보여주는 도면.
도3은 본 발명의 일실시예에 따라 준비 라우팅 모드에서의 동작을 보여주는 도면.
도4는 본 발명의 일실시예에 따라 정상 라우팅 모드로 복귀를 보여주는 도면.FIG. 1 is a conceptual diagram showing the traffic outside and blocking in the Shiled according to the conventional invention. FIG.
Figure 2 shows a routing table in normal routing mode according to an embodiment of the invention;
3 illustrates operation in a ready routing mode in accordance with one embodiment of the present invention.
Figure 4 illustrates return to normal routing mode in accordance with an embodiment of the present invention.

이하 본 발명의 실시를 위한 구체적인 내용을 도면을 참고하여 자세히 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the drawings.

본 발명에서는 에이에스(자율 시스템, 이하 AS라 한다) 외부에서는 기존의 Shield를 구성하고 AS 내부는 RIP 프로토콜을 변형하여 동작하는 시스템으로 구성한다. In the present invention, the existing shield is configured outside the AS (autonomous system, hereinafter referred to as AS), and the AS is configured as a system that operates by modifying the RIP protocol.

AS 내부에서 사용되는 방어 시스템을 AS외부의 Shield와 구별하기 위해 sShield(small Shield; 100)라고 정의 한다.Define the defense system used inside the AS as sShield (small shield; 100) to distinguish it from the shield outside the AS.

Shield와는 다르게 본 발명에서 제안한 sShield(100)는 AS 내부에 위치한다. 설치 위치는 기존의 라우들 사이에 설치하게 된다. 이미 설치되어 있는 라우터A(10)와 라우터B(20)가 있을 경우 라우터A(10)와도 연결되고 라우터B(20)와도 연결 된다. 그리고 sShield(100)도 하나의 라우터로 동작하게 된다.Unlike the shield, the sshield 100 proposed by the present invention is located inside the AS. The installation location is installed between the existing lawns. The router A 10 and the router B 20 are connected to the router A 10 and the router B 20, respectively. And the sShield (100) also operates as a single router.

sShield(100)는 3단계의 라우팅 모드에 따라 동작이 틀려진다. 3단계 모드는 DDoS 공격상황에 따라 변하며 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode) 이다.The sShield (100) operates differently according to the three-stage routing mode. The three-stage mode changes according to the DDoS attack situation and is a normal routing mode, a prepared routing mode, and a protected routing mode.

평상시에 동작하는 정상 라우팅 모드는 sShield(100)가 동작하지 않고 sShield(100)로 어떠한 트래픽도 지나가지 않는 정상적이고 안정적인 상태이다. The normal routing mode that operates normally is a normal and stable state in which the sShield 100 does not operate and no traffic is transmitted to the sShield 100.

그러나 공격으로 의심되는 트래픽을 AS가 여러 경로를 통해 알아냈다면 준비 라우팅 모드로 전환하고 라우팅 경로를 sShield(100)로 바꾼다. 그리고 실제 공격이 진행될 경우 보호 라우팅 모드로 전환하여 공격 트래픽을 차단한다.However, if the AS is aware of the suspicious traffic through the various paths, switch to the prepared routing mode and change the routing path to sShield (100). And if the actual attack progresses, it switches to protection routing mode and blocks attack traffic.

도2에서 보는 바와 같이 정상 라우팅 모드는 어떠한 공격도 없고 공격 징후도 없는 정상적인 라우팅 모드이다. 라우터 A(10)와 라우터 B(20) 사이에 sShield(100)가 설치되었을 때의 모습이다. 각 라우터의 라우팅 테이블은 안정화 된 상태이다. 라우팅 테이블의 각 원소는 {Destination Network, Hop-Count, Next hop} 순서로 구성되어 있다.As shown in FIG. 2, the normal routing mode is a normal routing mode without any attack or attack sign. And the sshield 100 is installed between the router A 10 and the router B 20. The routing table of each router is in a stable state. Each element of the routing table consists of {Destination Network, Hop-Count, Next hop}.

도3에서 보는 바와 같이 준비 라우팅 모드는 AS가 판단할 때 여러 곳에서 수집된 정보를 근거로 DDoS 공격 피해지로 의심되는 네트워크가 있을 경우 동작하는 모드이다. As shown in FIG. 3, the prepared routing mode is a mode that operates when there is a suspected network as a DDoS attack destination based on information collected from various places when the AS judges.

네트워크 B가 공격을 받고 있다고 의심될 경우 라우팅 테이블이 변경되는 그림이다. sShield(100)는 자신의 라우팅 테이블에서 네트워크 B로 향하는 필드의 내용을 DB에 저장하고 마크한다. 그리고 해당 필드의 홉 값(Hop count)을 n-2(n은 원래의 홉 값) 하여 기록 한 후 해당 필드의 next-hop위치를 제외한 다른 방향(s1)에 트리거 업데이트(Triggered update)를 이용하여 즉시 라우팅 테이블을 보내서 테이블을 변경하도록 한다. 네트워크 B로 향하는 홉 값을 줄였기 때문에 라우터 A(10)의 라우팅 테이블은 바뀌고 네트워크 B로 보내는 트래픽은 전부 A1을 통해 sShield(100)로 가게 된다. If the network B is suspected to be under attack, the routing table is changed. The sShield 100 stores and marks the contents of the field from its routing table to the network B in the DB. Then, after recording the hop count of the corresponding field as n-2 (n is an original hop value), a trigger update is performed in a direction s1 other than the next-hop position of the corresponding field Immediately change the table by sending a routing table. The routing table of the router A 10 is changed and the traffic sent to the network B is all transmitted to the sShield 100 via the A1 because the hop value for the network B is reduced.

AS가 네트워크 B에 대한 DDoS공격이 일어나고 있다는 것을 확인하게 되면 AS는 sShield(100)에게 보호 라우팅 모드로 변환할 것을 지시하고 필터링 규칙에 맞는 패킷을 전부 sShield(100)에서 차단한다. 차단한 트래픽을 제외한 정상적인 패킷들은 아무 수정 없이 sShield(100)의 S2를 통해 라우터B(20)를 거처 목적지에 도달한다.  When the AS confirms that a DDoS attack on the network B is occurring, the AS instructs the sShield 100 to convert to the protected routing mode, and blocks all packets according to the filtering rule from the sShield 100. [ The normal packets except for the blocked traffic reach the destination via the router B 20 via S2 of the sShield 100 without any modification.

DDoS의 공격이 끝났다고 판단되면 sShield(100)는 준비 라우팅 모드로 복귀하게 된다. 여기서는 혹시 다시 공격이 올지도 모르는 상황을 대비하게 된다.When it is determined that the DDoS attack is finished, the sShield 100 returns to the prepared routing mode. In this case, you will be prepared for situations in which an attack might come back.

도4에서 보는 바와 같이 준비 라우팅 모드에서 일정시간 동안 의심스러운 트래픽이 없을 경우 다시 정상 라우팅 모드로 변경하여야 한다. 이 때 원래 라우팅 테이블로 바꿔줘야 하는데 이 과정을 설명하고 있다. As shown in FIG. 4, if there is no suspicious traffic for a predetermined period of time in the prepared routing mode, the normal routing mode should be changed again. At this point, we need to switch to the original routing table.

sShield(100)는 DB에 저장되어 있던 네트워크 B에 대한 홉 값을 원래대로 복구한다. 그 후에는 정기적인 라우팅 업데이트 메시지 교환에 의하여 라우터 A의 라우팅 테이블이 정상적인 경로로 변경된다.
the sShield 100 restores the hop value for the network B stored in the DB. Thereafter, the routing table of router A is changed to a normal route by regular exchange of routing update messages.

이하 본 발명에 따른 네트워크 A와 B를 포함하는 디도스 방어를 위한 AS 내부 라우팅 배치 방법에 대하여 자세히 설명한다.Hereinafter, an AS internal routing arrangement method for the DDoS defense including the networks A and B according to the present invention will be described in detail.

본 발명은 인터넷 어떠한 위치에도 설치가 가능한 내부라우터를 통하여 3단계의 라우팅 모드에 따라 동작하는 단계로 구성된다.The present invention is configured to operate according to a three-stage routing mode through an internal router that can be installed anywhere on the Internet.

상술한 바와 같이 본 발명은 평상시에는 상기 내부라우터가 동작하지 않고 상기 내부라우터로 어떠한 트래픽도 지나가지 않는 정상 라우팅 모드로 동작하는 단계와, 공격으로 의심되는 트래픽을 AS가 여러 경로를 통해 알아냈다면 준비 라우팅 모드로 전환하고 라우팅 경로를 내부라우터로 바꾸는 단계와, 실제 공격이 진행될 경우 보호 라우팅 모드로 전환하여 공격 트래픽을 차단하는 단계를 포함하여 구성된다.As described above, according to the present invention, the normal router operates in a normal routing mode in which the internal router does not operate and does not pass any traffic to the internal router, and if the AS is found through various paths Switching to a ready routing mode, switching the routing path to an internal router, and blocking the attack traffic by switching to a protected routing mode when an actual attack proceeds.

본 발명에 따른 상기 3단계의 라우팅 모드는 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode)이고, 상기 준비 라우팅 모드는 AS가 판단할 때 여러 곳에서 수집된 정보를 근거로 DDoS 공격 피해지로 의심되는 네트워크가 있을 경우 동작하는 단계이다.The three routing modes according to the present invention are a normal routing mode, a prepared routing mode, and a protected routing mode, It is a step that operates when there is a suspected network as a DDoS attack site based on the information collected in the place.

여기에서 상기 AS가 네트워크 B에 대한 DDoS공격이 일어나고 있다는 것을 확인하게 되면 AS는 내부라우터에게 보호 라우팅 모드로 변환할 것을 지시하고 필터링 규칙에 맞는 패킷을 전부 내부라우터에서 차단하는 단계와, 상기 차단한 트래픽을 제외한 정상적인 패킷들은 아무 수정 없이 내부라우터를 통해 목적지에 도달하는 단계를 포함하여 구성된다.If the AS confirms that a DDoS attack on the network B is occurring, the AS instructs the internal router to convert to the protection routing mode and blocks all packets matching the filtering rule from the internal router, Normal packets excluding traffic are configured to arrive at a destination through an internal router without any modification.

기존의 DDoS 공격에 대한 방어 시스템과 다르게 어디에 방어 시스템을 설치해야하는지에 대한 문제를 다루고 있다. 이 문제를 처음 제기한 Shield는 AS 외부에 설치할 수밖에 없었지만 AS 내부에서 동작하는 RIP의 라우팅 업데이트를 이용하여 경로를 우회시키고 차단하는 sShield 시스템을 설계하였다. sShield는 공격 위험도에 따라 정상 라우팅 모드, 준비 라우팅 모드, 보호 라우팅 모드의 3단계로 구성되며 Shield에서 하지 못했던 정밀한 단위의 우회와 차단을 제공할 수 있게 되었다. AS 내부에서는 sShield들이 서로 협력하면서 AS 외부의 Shield와 함께 DDoS 공격에 대비한다면 DDoS 공격의 감시와, 발견 그리고 트래픽 조절에 도움을 줄 수 있을 것이다.Unlike defense systems against existing DDoS attacks, it deals with the problem of where to install defense systems. Shield, which was the first to issue this problem, was forced to install outside the AS, but designed the sShield system to bypass and block the route using the routing update of RIP running inside the AS. The sShield is composed of three stages of normal routing mode, ready routing mode and protection routing mode according to the attack risk, and it can provide precise unit bypassing and blocking that was not possible in the shield. Inside the AS, sShields can cooperate with each other to protect against DDoS attacks as well as monitoring and discovery and traffic control if they are prepared against DDoS attacks with external Shields.

10 : 라우터A
20 : 라우터B
100 : 내부라우터(sShield)10: Router A
20: Router B
100: Internal Router (sShield)

Claims (10)

네트워크 A와 네트워크 B를 포함하는 디도스 방어를 위한 AS 내부 라우팅 배치 시스템에 있어서,
라우터A와 연결되는 S1과 라우터B와 연결되는 S2를 포함하고, 3 종류의 라우팅 모드에 따라 동작하는 내부라우터(sShield);로 구성되는 것을 특징으로 하는 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템.CLAIMS 1. An AS internal routing arrangement system for a DDoS defense comprising a network A and a network B,
The internal routing arrangement system for defense defense system for DDoS, comprising: S1 connected to the router A and S2 connected to the router B, the internal router (sShield) operating according to three types of routing modes. 제1항에 있어서,
상기 3 종류의 라우팅 모드는 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode)인 것을 특징으로 하는 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템.The method of claim 1,
The three kinds of routing modes are a normal routing mode, a normal routing mode, a protected routing mode, and a protected routing mode. 제1항 또는 제2항에 있어서,
평상시에는 상기 내부라우터가 동작하지 않는 상기 정상 라우팅 모드이고,
공격으로 의심되는 트래픽을 AS가 여러 경로를 통해 알아냈다면 준비 라우팅 모드로 전환하고 라우팅 경로를 sShield를 거치게 하여, 실제 공격이 진행될 경우 상기 보호 라우팅 모드로 전환하여 공격 트래픽을 차단하는 것을 특징으로 하는 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템.3. The method according to claim 1 or 2,
The normal routing mode in which the internal routers do not operate normally,
If the AS detects the traffic suspected of being attacked through various paths, it switches to the ready routing mode and passes the routing path through sShield, so that the attack traffic is blocked by switching to the protected routing mode when an actual attack is performed. ACE internal routing placement system for DDoS defense. 제3항에 있어서,
상기 준비 라우팅 모드는 AS가 판단할 때 여러 곳에서 수집된 정보를 근거로 DDoS 공격 피해지로 의심되는 네트워크가 있을 경우 동작하는 모드인 것을 특징으로 하는 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템.The method of claim 3,
The ready routing mode is an internal routing system for defense defense system for the DDoS, characterized in that the operating mode when there is a network suspected to be a DDoS attack damage based on the information collected from a number of places when the AS determines. 제1항에 있어서,
상기 AS가 네트워크 B에 대한 DDoS공격이 일어나고 있다는 것을 확인하게 되면 AS는 내부라우터에게 보호 라우팅 모드로 변환할 것을 지시하고 필터링 규칙에 맞는 패킷을 전부 내부라우터에서 차단하고, 차단한 트래픽을 제외한 정상적인 패킷들은 아무 수정 없이 내부라우터의 상기 S2를 통해 라우터 B를 거처 목적지에 도달하는 것을 특징으로 하는 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템.The method of claim 1,
When the AS confirms that a DDoS attack on the network B is occurring, the AS instructs the internal router to convert to the protection routing mode, blocks all packets meeting the filtering rule from the internal router, The router arrives at the destination via the router B via the S2 of the internal router without any modification. 네트워크 A와 B를 포함하는 디도스 방어를 위한 AS 내부 라우팅 배치 방법에 있어서,
인터넷 어떠한 위치에도 설치가 가능한 내부라우터를 통하여 3단계의 라우팅 모드에 따라 동작하는 단계;로 구성되는 것을 특징으로 하는 디도스 방어를 위한 에이에스 내부 라우팅 배치 방법.CLAIMS 1. An AS internal routing arrangement method for a DDoS defense including networks A and B,
A method of arranging internal routing of DS for defense, comprising: operating in accordance with three routing modes through an internal router that can be installed anywhere on the Internet. 제6항에 있어서,
평상시에는 상기 내부라우터가 동작하지 않고 상기 내부라우터로 어떠한 트래픽도 지나가지 않는 정상 라우팅 모드로 동작하는 단계와;
공격으로 의심되는 트래픽을 AS가 여러 경로를 통해 알아냈다면 준비 라우팅 모드로 전환하고 라우팅 경로를 내부라우터로 바꾸는 단계와;
실제 공격이 진행될 경우 보호 라우팅 모드로 전환하여 공격 트래픽을 차단하는 단계;
를 포함하여 구성되는 것을 특징으로 하는 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템.The method according to claim 6,
Operating in a normal routing mode in which the internal router does not normally operate and no traffic passes to the internal router;
If the AS detects traffic suspected of being attacked through various paths, switching to the ready routing mode and changing the routing path to an internal router;
Blocking the attack traffic by switching to a protection routing mode when an actual attack proceeds;
Ace internal routing placement system for DDoS defenses, characterized in that comprises a. 제6항에 있어서,
상기 3단계의 라우팅 모드는 정상 라우팅 모드(Normal routing mode), 준비 라우팅 모드(Preventive routing mode), 보호 라우팅 모드(Protected routing mode)인 것을 특징으로 하는 디도스 방어를 위한 에이에스 내부 라우팅 배치 방법.The method according to claim 6,
The routing mode of step 3 is a normal routing mode (Normal routing mode), a preliminary routing mode (Preventive routing mode), protected routing mode (Protected routing mode) characterized in that the internal routing arrangement method for the defense defense. 제8항에 있어서,
상기 준비 라우팅 모드는 AS가 판단할 때 여러 곳에서 수집된 정보를 근거로 DDoS 공격 피해지로 의심되는 네트워크가 있을 경우 동작하는 단계인 것을 특징으로 하는 디도스 방어를 위한 에이에스 내부 라우팅 배치 방법.9. The method of claim 8,
The ready routing mode is a step of operating in the internal routing for the defense of the D-Dos, characterized in that the step of operating when there is a network suspected of DDoS attack damage based on the information collected from a number of places when the AS determines. 제6항에 있어서,
상기 AS가 네트워크 B에 대한 DDoS공격이 일어나고 있다는 것을 확인하게 되면 AS는 내부라우터에게 보호 라우팅 모드로 변환할 것을 지시하고 필터링 규칙에 맞는 패킷을 전부 내부라우터에서 차단하는 단계와;
상기 차단한 트래픽을 제외한 정상적인 패킷들은 아무 수정 없이 내부라우터를 통해 목적지에 도달하는 단계;
를 더 포함하여 구성되는 것을 특징으로 하는 디도스 방어를 위한 에이에스 내부 라우팅 배치 방법.
The method according to claim 6,
If the AS determines that a DDoS attack is occurring to Network B, the AS instructs the internal router to switch to the protected routing mode and blocks all packets that meet the filtering rules from the internal router;
Normal packets excluding the blocked traffic reach a destination through an internal router without any modification;
Ace routing method for routing internal to the DDoS, characterized in that the configuration further comprises.
KR1020120064408A 2012-06-15 2012-06-15 Router deploying system in the AS for DDoS Attack defense KR101394383B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120064408A KR101394383B1 (en) 2012-06-15 2012-06-15 Router deploying system in the AS for DDoS Attack defense

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120064408A KR101394383B1 (en) 2012-06-15 2012-06-15 Router deploying system in the AS for DDoS Attack defense

Publications (2)

Publication Number Publication Date
KR20130141192A true KR20130141192A (en) 2013-12-26
KR101394383B1 KR101394383B1 (en) 2014-05-13

Family

ID=49985387

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120064408A KR101394383B1 (en) 2012-06-15 2012-06-15 Router deploying system in the AS for DDoS Attack defense

Country Status (1)

Country Link
KR (1) KR101394383B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180026994A1 (en) * 2016-07-22 2018-01-25 Alibaba Group Holding Limited Network attack defense system and method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100351305B1 (en) * 2001-01-19 2002-09-05 주식회사 정보보호기술 Intrusion detection system to interact with access control and method for intrusion confrontation
KR101038673B1 (en) * 2009-12-18 2011-06-03 주식회사 케이티 Method and apparatus for providing service for protecting from ddos in backbone

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180026994A1 (en) * 2016-07-22 2018-01-25 Alibaba Group Holding Limited Network attack defense system and method
US10505974B2 (en) * 2016-07-22 2019-12-10 Alibaba Group Holding Limited Network attack defense system and method
US11184387B2 (en) 2016-07-22 2021-11-23 Alibaba Group Holding Limited Network attack defense system and method

Also Published As

Publication number Publication date
KR101394383B1 (en) 2014-05-13

Similar Documents

Publication Publication Date Title
EP3253025B1 (en) Sdn-based ddos attack prevention method, device and system
CN108040057B (en) Working method of SDN system suitable for guaranteeing network security and network communication quality
EP3846406A1 (en) Dynamic security actions for network tunnels against spoofing
US8181240B2 (en) Method and apparatus for preventing DOS attacks on trunk interfaces
US7596097B1 (en) Methods and apparatus to prevent network mapping
CN104954367B (en) A kind of cross-domain ddos attack means of defence of internet omnidirectional
Aggarwal et al. Securing IoT devices using SDN and edge computing
US20060256729A1 (en) Method and apparatus for identifying and disabling worms in communication networks
CN104378380A (en) System and method for identifying and preventing DDoS attacks on basis of SDN framework
JP2011234331A (en) Method and apparatus for detecting spoofed network information
CN111163062B (en) Multi-network address hopping security defense method for cross fire attack
US9258213B2 (en) Detecting and mitigating forwarding loops in stateful network devices
CN109474605A (en) A kind of source net lotus industrial control system composite defense method based on Autonomous Domain
WO2006004556A1 (en) Traffic redirection attack protection method and system
CN112154635A (en) Attack source tracing in SFC overlay networks
Noh et al. Protection against flow table overflow attack in software defined networks
Ramanujan et al. Intrusion-resistant ad hoc wireless networks
KR101394383B1 (en) Router deploying system in the AS for DDoS Attack defense
KR20170109949A (en) Method and apparatus for enhancing network security in dynamic network environment
KR101065800B1 (en) Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
EP3413229B1 (en) Control device, mitigation system, control method, and computer program
JP2008060865A (en) Traffic analysis/control system
KR100456637B1 (en) Network security service system including a classifier based on blacklist
JP2006325091A (en) Network attach defense system
KR20110009813A (en) Attack monitoring and tracing system and method in all ip network environment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170502

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180502

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190508

Year of fee payment: 6

R401 Registration of restoration
R401 Registration of restoration