1 |
1
외부 네트워크와 연결된 포트로 유입되는 DNS에 대한 정보 흐름을 규칙 생성부에 전송하는 악의적 DNS 방어기;상기 악의적 DNS 방어기로부터 수신한 DNS에 대한 정보 흐름에 대하여 DNS 응답 차단 규칙을 생성하는 규칙 생성부 및SDN 제어부가 호스트로부터 DNS 요청 메시지를 수신하면, 상기 DNS 요청 메시지의 패킷을 분석하는 DNS 검증부을 포함하고, 상기 DNS 요청 메시지의 패킷에 대한 정보가 상기 DNS 검증부에서 기 설정된 조건을 만족하면, 상기 규칙 생성부는 DNS 요청 전달 규칙 및 DNS 응답 전달 규칙을 생성하되, 상기 규칙 생성부는 DNS 응답 메시지를 차단하는 상기 DNS 응답 전달 규칙 보다 DNS Query 및 해당 DNS Query에 대한 응답 메시지를 송·수신하는 규칙을 우선순위로 설정하는 것을 특징으로 하는 SDN 기반의 DNS 증폭 공격 방어시스템
|
2 |
2
제1항에 있어서,상기 악의적 DNS 방어기는 SDN 제어부와 SDN 스위치가 연결될 경우에 상기 DNS에 대한 정보 흐름을 상기 규칙 생성부에 전송하는 것을 특징으로 하는 SDN 기반의 DNS 증폭 공격 방어시스템
|
3 |
3
제1항에 있어서,상기 DNS 검증부는 상기 DNS 요청 메시지의 패킷을 상기 SDN 제어부로부터 수신하고, 상기 패킷에 포함된 정보를 분류하는 패킷 관리부를 더 포함하는 SDN 기반의 DNS 증폭 공격 방어시스템
|
4 |
4
제1항에 있어서,상기 SDN 제어부는 상기 생성된 DNS 응답 차단 규칙, 상기 생성된 DNS 요청 전달 규칙 및 상기 생성된 DNS 응답 전달 규칙을 SDN 스위치에 설치하는 것인 SDN 기반의 DNS 증폭 공격 방어시스템
|
5 |
5
제1항에 있어서, 상기 DNS 검증부는 상기 패킷에 포함된 정보 중 목적지 IP와 목적지 포트번호를 기설정된 값과 비교하는 것을 특징으로 하는 SDN 기반의 DNS 증폭 공격 방어시스템
|
6 |
6
규칙 생성부가 외부 네트워크와 연결된 포트로 유입되는 DNS에 대한 정보 흐름에 대하여 DNS 응답 차단 규칙을 생성하는 단계;SDN 제어부가 상기 생성된 DNS 응답 차단 규칙을 SDN 스위치에 설치하는 단계;상기 SDN 제어부가 호스트로부터 DNS 요청 메시지를 수신하면, DNS 검증부가 상기 DNS 요청 메시지의 패킷을 분석하는 단계;상기 DNS 요청 메시지의 패킷에 대한 정보가 상기 DNS 검증부에서 기 설정된 조건을 만족하면, 상기 규칙 생성부는 DNS 요청 전달 규칙 및 DNS 응답 전달 규칙을 생성하는 단계 및상기 SDN 제어부가 상기 DNS 요청 전달 규칙 및 상기 DNS 응답 전달 규칙을 상기 SDN 스위치에 설치하는 단계를 포함하되, 상기 규칙 생성부는 DNS 응답 메시지를 차단하는 상기 DNS 응답 전달 규칙 보다 DNS Query 및 해당 DNS Query에 대한 응답 메시지를 송·수신하는 규칙을 우선순위로 설정하는 것을 특징으로 하는 SDN 기반의 DNS 증폭 공격 방어 방법
|
7 |
7
제6항에 있어서,상기 SDN 스위치가 오픈 DNS 서버로부터 DNS 응답 메시지를 수신하는 단계;상기 SDN 스위치가 상기 DNS 응답 메시지와 상기 SDN 스위치에 설치된 DNS 응답 전달 규칙의 매칭 여부를 결정하는 단계; 및상기 DNS 응답 메시지가 상기 DNS 응답 전달 규칙에 매칭되면, 상기 SDN 스위치는 상기 DNS 응답 메시지를 상기 호스트로 전송하고,상기 DNS 응답 메시지가 상기 DNS 응답 전달 규칙에 매칭되지 않으면, 상기 SDN 스위치는 상기 DNS 응답 메시지를 차단하는 단계를 더 포함하는 SDN 기반의 DNS 증폭 공격 방어 방법
|
8 |
8
제6항에 있어서,상기 DNS 응답 차단 규칙을 생성하는 단계 이전에, 상기 SDN 제어부와 상기 SDN 스위치가 연결될 경우, 악의적 DNS 방어기는 외부 네트워크와 연결된 포트로 유입되는 DNS에 대한 정보 흐름을 상기 규칙 생성부에 전송하는 단계를 더 포함하는 SDN 기반의 DNS 증폭 공격 방어 방법
|
9 |
9
제6항에 있어서, 상기 DNS 요청 메시지의 패킷을 분석하는 단계는,상기 DNS 검증부가 상기 DNS 요청 메시지의 패킷을 상기 SDN 제어부로부터 수신하고, 상기 패킷에 포함된 정보를 분류하는 단계를 더 포함하는 SDN 기반의 DNS 증폭 공격 방어 방법
|
10 |
10
제6항에 있어서, 상기 DNS 요청 메시지의 패킷을 분석하는 단계는,상기 패킷에 포함된 정보 중 목적지 IP와 목적지 포트번호를 기설정된 값과 비교하는 것을 특징으로 하는 SDN 기반의 DNS 증폭 공격 방어 방법
|