| 1 |
1
네트워크 상에 연결된 컴퓨터 장치에서 수행되고, 네트워크를 통해 전송되는 DNS(Domain Name Server)패킷을 검사하여 공격을 탐지하는 방법에 있어서,상기 전송되는 패킷에 포함된 메시지와 동일 유형의 메시지를 포함하고, 상기 전송되는 패킷과 특정 주소지와 특정 필드 값이 동일한 DNS 패킷이, 이전에 일정한 수 이상 임계 시간 내에 발생하였는지 여부를 판단하는 단계; 및상기 임계 시간 내에 상기와 같이 동일한DNS 패킷이 일정한 수 이상 발생하였다고 판단한 경우 상기 전송되는 DNS 패킷을 공격과 관련된 패킷이라고 판단하는 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법
|
| 2 |
2
제 1항에 있어서,상기 DNS 패킷이 질의 메시지를 포함하는 경우, 상기 특정 주소지는 발신지 주소와 목적지 주소를 포함하는 것을 특징으로 하는 공격 탐지 방법
|
| 3 |
3
제 1항에 있어서,상기 DNS 패킷이 응답 메시지를 포함하는 경우, 상기 특정 주소지는 목적지 주소를 포함하는 것을 특징으로 하는 공격 탐지 방법
|
| 4 |
4
제 1항 내지 제 3항 중 어느 하나의 항에 있어서,상기 특정 필드는 식별자 필드 및 질문 필드 중 적어도 하나를 포함하는 것을 특징으로 하는 공격 탐지 방법
|
| 5 |
5
제 1항에 있어서,상기 전송되는 패킷을 공격과 관련된 패킷이라고 판단하는 경우 상기 전송되는 패킷을 차단하는 단계를 더 포함하는 것을 특징으로 하는 공격 탐지 방법
|
| 6 |
6
제 1항 내지 제 3항 중 어느 하나의 항에 있어서,상기 이전에 발생한 DNS 패킷에 대한 정보는 별도의 데이터베이스를 통해 관리되어 참조되고, 상기 데이터 베이스에는 이전에 발생한 패킷에 대한 정보와 발생 시간이 저장되고, 상기 패킷에 대한 정보는 식별자, 발신지 주소, 목적지 주소 및 질문 중 최소 하나를 포함하는 것을 특징으로 하는 공격 탐지 방법
|
| 7 |
7
네트워크 상에 연결된 컴퓨터 장치에서 수행되고, 응답 메시지를 포함하는 DNS(Domain Name Server) 패킷을 검사하여 공격을 탐지하는 방법에 있어서,이전에 전송된 DNS 패킷 중 상기 DNS 패킷의 응답메시지에 대응되는 질의 메시지를 포함하는 이전 패킷이 존재하는지 여부를 판단하는 단계; 및상기 응답 메시지에 대응되는 질의 메시지를 포함하는 이전 패킷이 존재하지 않는다고 판단한 경우 상기 응답 메시지를 포함하는 DNS 패킷을 공격과 관련된 패킷으로 판단하는 단계를 포함하는 것을 특징으로 하는 공격 탐지 방법
|
| 8 |
8
제 7항에 있어서,상기 이전 패킷의 존재여부의 판단은 상기 응답 메시지를 포함하는 DNS 패킷의 식별자, 목적지 주소 및 발신지 주소를, 질의 메시지를 포함하는 이전 패킷의 식별자, 발신지 주소 및 목적지 주소와 각각 비교함으로써 판단하는 것을 특징으로 하는 공격 탐지 방법
|
| 9 |
9
제 7항에 있어서,상기 질의 메시지를 포함하는 패킷에 대한 정보는 별도의 데이터베이스를 통해 관리되어 참조되고, 상기 데이터 베이스에는 질의 메시지를 포함하는 패킷의 식별자, 발신지 주소 및 목적지 주소를 포함하는 것을 특징으로 하는 공격 탐지 방법
|
| 10 |
10
제 7항에 있어서,상기 응답 메시지를 포함하는 패킷을 공격과 관련된 패킷이라고 판단하는 경우 상기 응답 메시지를 포함하는 패킷을 차단하는 단계를 더 포함하는 것을 특징으로 하는 공격 탐지 방법
|
| 11 |
11
네트워크 상에 연결된 컴퓨터 장치에서 수행되고, 응답 메시지를 포함하는 DNS패킷을 검사하여 공격을 탐지하는 방법 있어서,상기 전송되는 DNS 패킷의 응답 메시지의 크기가 최대 허용 크기를 초과하는 지 여부를 판단하는 단계; 및상기 응답 메시지의 크기가 상기 최대 허용 크기를 초과하는 경우, 상기 패킷이 ENDS0(Extension mechanisms for DNS version 0)을 제공하지 않는 서버 또는 호스트로 전달된다면 상기 DNS 패킷을 공격으로 판단하는 것을 특징으로 하는 공격 탐지 방법
|
| 12 |
12
제 11항에 있어서,상기 최대 허용 크기는 512 바이트인 것을 특징으로 하는 공격 탐지 방법
|
