| 1 |
1
수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득하고, 상기 획득된 시작지 주소 및 제1 인터페이스 번호를 이용하여 IP(Internet Protocol) 스푸핑 발생 여부를 검사하는 IP 스푸핑 검사 모듈;IP 스푸핑이 발생되지 않은 패킷의 목적지 주소에 해당하는 라우팅 테이블을 확인하고, 상기 확인된 라우팅 테이블에서 해당 시작지 주소와 매핑된 참조횟수를 근거로 DDoS(Distributed Denial of Service) 공격을 1차 탐지하는 라우팅 테이블 참조 횟수 검사 모듈; 및상기 1차 DDoS 공격이 탐지된 목적지 주소를 가진 패킷에 대한 요청 대비 응답률 또는 응답 대비 요청률을 구하고, 상기 구해진 요청 대비 응답률 또는 응답 대비 요청률을 근거로 DDoS 공격을 2차 탐지하는 패킷 전송 제어 모듈;을 포함하되, 상기 IP 스푸핑 검사 모듈은, 상기 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득하는 패킷 분석부;상기 획득된 시작지 주소를 목적지 주소로 라우팅을 수행하여 제2 인터페이스 번호를 획득하는 제2 인터페이스 번호 획득부; 및상기 획득된 제2 인터페이스 번호를 상기 제1 인터페이스 번호와 비교하여 일치하지 않은 경우, IP 스푸핑이 발생된 것으로 판단하여 IP 스푸핑 경고를 발생하고, 해당 패킷을 차단하는 IP 스푸핑 여부 판단부를 포함하는 분산서비스거부 공격 탐지 및 방어 장치
|
| 2 |
2
삭제
|
| 3 |
3
제1항에 있어서, 상기 IP 스푸핑 여부 판단부는 상기 제2 인터페이스 번호와 상기 제1 인터페이스 번호가 일치하는 경우, 해당 패킷을 상기 라우팅 테이블 참조횟수 검사 모듈로 전송하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치
|
| 4 |
4
제1항에 있어서,상기 라우팅 테이블 참조 횟수 검사 모듈은, 상기 IP 스푸핑 검사 모듈로부터의 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하는 패킷 분석부;상기 획득된 목적지 주소를 IP 스푸핑이 발생된 패킷의 목적지 주소와 비교하여 일치하는 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조횟수에 가중치를 부여하여 증가시킨 후, 저장하는 라우팅 테이블 참조횟수 제어부; 및상기 저장된 참조횟수를 미리 정해진 임계 참조횟수와 비교하여 상기 참조 횟수가 임계 참조횟수를 초과하는 경우, 상기 목적지 주소를 DDoS 공격 예상 목적지 주소라고 DDoS 공격을 1차 탐지하는 제1 DDoS 공격 탐지부를 포함하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치
|
| 5 |
5
제4항에 있어서,상기 라우팅 테이블 참조 횟수 제어부는 상기 획득된 목적지 주소가 IP 스푸핑이 발생된 패킷의 목적지 주소와 일치하지 않은 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수를 "1"증가시켜 저장하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치
|
| 6 |
6
제4항에 있어서,상기 제1 DDoS 공격 탐지부는 상기 1차 DDoS 공격이 탐지된 목적지 주소를 DDoS 공격 예상 목적지 주소로 해당 시작지 주소와 함께 DDoS 공격 예상 목적지 주소 데이터베이스에 저장하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치
|
| 7 |
7
제1항에 있어서, 상기 패킷 전송 제어 모듈은,상기 라우팅 테이블 참조횟수 검사 모듈로부터의 패킷을 분석하여 정상적인 형태의 패킷인지를 판단하는 패킷 분석부;상기 패킷 분석부의 판단결과 정상적인 형태의 패킷인 경우, 해당 목적지 주소를 DDoS 공격 예상 목적지 주소와 비교하여 일치 여부를 판단하는 목적지 주소 비교부;상기 비교결과 일치하는 경우, 상기 패킷의 TCP 헤더 정보를 바탕으로 상기 패킷이 요청 또는 응답인지를 판단하는 요청/응답 판단부;상기 판단결과가 요청인 경우, 해당 패킷에 대한 요청 개수를 증가하고, 요청에 대한 응답률을 미리 정해진 제1 임계값과 비교하여 상기 응답률이 상기 제1 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보 신호를 발생하는 제2 DDoS 공격 탐지부를 포함하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치
|
| 8 |
8
제7항에 있어서, 상기 제2 DDoS 공격 탐지부는 상기 패킷이 응답인 경우, 해당 패킷에 대한 응답 개수를 증가하고, 응답에 대한 요청률을 미리 정해진 제2 임계값과 비교하여, 상기 요청률이 상기 제2 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보신호를 발생하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치
|
| 9 |
9
제7항에 있어서, 상기 제2 DDoS 공격 탐지부는 2차 DDoS 공격이 탐지된 패킷의 경우, 해당 패킷을 차단하고, 2차 DDoS 공격이 탐지되지 않은 패킷의 경우 전송하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치
|
| 10 |
10
제7항에 있어서, 상기 패킷 분석부는 상기 라우팅 테이블 참조횟수 검사 모듈로부터의 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하고, 상기 패킷의 TCP 헤더 옵션값을 체크하여 상기 패킷이 정상인지의 여부를 판단하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 장치
|
| 11 |
11
DDoS 공격 탐지 및 방어 장치가 DDoS 공격을 탐지 및 방어하는 방법에 있어서,(a) 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 인터페이스 번호를 획득하고, 상기 획득된 시작지 주소 및 제1 인터페이스 번호를 이용하여 IP 스푸핑 발생 여부를 검사하는 단계;(b) 상기 (a) 단계의 검사결과 IP 스푸핑이 발생되지 않은 패킷의 목적지 주소에 해당하는 라우팅 테이블을 확인하고, 상기 확인된 라우팅 테이블에서 해당 시작지 주소와 매핑된 참조횟수를 근거로 DDoS 공격을 1차 탐지하는 단계; 및(c) 상기 1차 DDoS 공격이 탐지된 목적지 주소를 가진 패킷에 대한 요청 대비 응답률 또는 응답 대비 요청률을 구하고, 상기 구해진 요청 대비 응답률 또는 응답 대비 요청률을 근거로 DDoS 공격을 2차 탐지하는 단계;를 포함하되, 상기 (a) 단계는, 상기 수신되는 패킷을 분석하여 시작지 주소, 목적지 주소, 제1 인터페이스 번호를 획득하는 단계;상기 획득된 시작지 주소를 목적지 주소로 라우팅을 수행하여 제2 인터페이스 번호를 획득하는 단계; 및상기 획득된 제2 인터페이스 번호를 상기 제1 인터페이스 번호와 비교하여 일치하지 않은 경우, IP 스푸핑이 발생된 것으로 판단하여 IP 스푸핑 경고를 발생하고, 해당 패킷을 차단하는 단계를 포함하는 분산서비스거부 공격 탐지 및 방어 방법
|
| 12 |
12
삭제
|
| 13 |
13
제11항에 있어서,상기 (b) 단계는, 상기 IP 스푸핑이 발생되지 않은 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하는 단계;상기 획득된 목적지 주소를 IP 스푸핑이 발생된 패킷의 목적지 주소와 비교하여 일치하는 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수에 가중치를 부여하여 증가시킨 후, 저장하는 단계;상기 저장된 참조 횟수를 미리 정해진 임계 참조횟수와 비교하여 상기 참조 횟수가 임계 참조횟수를 초과하는 경우, 상기 목적지 주소를 DDoS 공격 예상 목적지 주소로 DDoS 공격을 1차 탐지하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법
|
| 14 |
14
제13항에 있어서,상기 획득된 목적지 주소가 IP 스푸핑이 발생된 패킷의 목적지 주소와 일치하지 않은 경우, 상기 목적지 주소에 해당하는 라우팅 테이블에서 상기 시작지 주소와 매핑된 참조 횟수를 "1"증가시켜 저장하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법
|
| 15 |
15
제13항에 있어서,상기 1차 DDoS 공격이 탐지된 목적지 주소를 DDoS 공격 예상 목적지 주소로 해당 시작지 주소와 함께 DDoS 공격 예상 목적지 주소 데이터베이스에 저장하는 단계를 더 포함하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법
|
| 16 |
16
제13항에 있어서, 상기 (c) 단계는, 상기 (b) 단계를 거친 패킷을 분석하여 정상적인 형태의 패킷인지를 판단하는 단계;상기 판단결과 정상적인 형태의 패킷인 경우, 해당 목적지 주소를 DDoS 공격 예상 목적지 주소와 비교하여 일치 여부를 판단하는 단계;상기 비교결과 일치하는 경우, 상기 패킷의 TCP 헤더 정보를 바탕으로 상기 패킷이 데이터 요청 또는 응답인지를 판단하는 단계;상기 판단결과가 요청인 경우, 해당 패킷에 대한 요청 개수를 증가하고, 요청에 대한 응답률을 미리 정해진 제1 임계값과 비교하여 상기 응답률이 상기 제1 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보 신호를 발생하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법
|
| 17 |
17
제16항에 있어서, 상기 패킷이 응답인 경우, 해당 패킷에 대한 응답 개수를 증가하고, 응답에 대한 요청률을 미리 정해진 제2 임계값과 비교하여, 상기 요청률이 상기 제2 임계값 이상인 경우, DDoS 공격을 2차 탐지하여 경보신호를 발생하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법
|
| 18 |
18
제16항 또는 제17항에 있어서, 상기 2차 DDoS 공격이 탐지된 패킷의 경우, 해당 패킷을 차단하고, 2차 DDoS 공격이 탐지되지 않은 패킷의 경우 전송하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법
|
| 19 |
19
제16항에 있어서, 상기 (b) 단계를 거친 패킷을 분석하여 정상적인 형태의 패킷인지를 판단하는 단계는, 상기 라우팅 테이블 참조 횟수 검사 모듈로부터의 패킷을 분석하여 시작지 주소와 목적지 주소를 획득하고, 상기 패킷의 TCP 헤더 옵션값을 체크하여 상기 패킷이 정상인지의 여부를 판단하는 것을 특징으로 하는 분산서비스거부 공격 탐지 및 방어 방법
|
