선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- au 에서 제공하고 있는 mSQL[l0]을 사용 하였으며, 차단 서버가 망의 트랙픽 흐름을 감시할 수 있도록 하기 위한 필터링 도구로는 pcap 라이브러리를 사용하였다[5]. pcap 라이브러를 통해 검사하고자 하는 패킷을 응용 계층으로 불러올 수 있는데, 본 논문에서는 http 트래픽만 감시하고자 하였으므로 목적지 포트 번호가 80번인 패킷만을 선별하도록 하여 차단 서버에 대한 부하를 최소화하고자 하였다. 만일 ftp 등의 다른 서비스도 차단하고 싶으면 해당 서비스 번호에 해당하는 패킷들도 pcap이 수신하도록 하면 된다.
- 실제 실험 환경에서는 외부 인터넷 망의 트래픽 부하 상황 변화를 일정하게 유지할 수 있는 방법이 없어서 실험 결과 연결 요청수와 차단성공율에 대한 결과값의 편차가 심하였다. 그러나 하루 중의 같은 시간대에 반 복 실험하고, 또한, 차단 서버와 에뮬레이터를 별도의 분리된 망에 설치하여 실험함으로써 가능하면 외부 트 래픽의 영향을 덜 받도록 하고자 하였다.
- 본 논문에서는 ip 주소 위조 기법에 기반한 유해 정보 접속 차단 시스템을 개발하였다. 차단 서버는 조직 이나 기관의 망 내의 모든 트래픽을 감시할 수 있는 위 치에 설치되어 외부의 유해 사이트에 연결을 시도하는 사용자를 발견하면 차단 서버는 마치 외부의 유해 사이 트가 응답하는 것처럼 위장한 RST를 전송하여 접속이 끊어지도록 유도하였다.
- 또한, 차단 서버에만 차단 소프트웨어를 두 는 시스템 중에서 사용자로부터 유해 사이트로 향하는 패킷을 일단 버퍼에 저장해 둔 다음에 그 패킷에 있는 URL이 유해한 사이트로의 접근이라고 판단되면 차단 하고 그렇지 않으면 외부로 패킷을 전달하는 방식은 유 해하지 않은 사이트로의 트래픽도 모두 차단 서버의 검 사를 거쳐야만 외부로의 전송이 가능하므로 차단 서버 에서 병목 현상이 발생할 수 있다[1, 2, 7, 8]. 본 논문에서는 일단은 모든 패킷이 외부로 나갈 수 있도록 허용하 되 유해한 사이트로의 접속을 시도하는 사용자에 대해 서만 접속을 방해하는 방식의 새로운 차단 시스템을 제 안한다. 제안된 시스템은 정상적인 트래픽 흐름에 영향을 거의 미치지 않으면서 필요할 때만 IP 주소 위조(IP Spoofing) 기법 [4]을 사용하여 차단을 하도록 하였다.
- 이 방식에서는 인터넷 접속은 유해한 사이트로의 접속이든 유해하지 않은 사이트로의 접속이 든 반드시 차단 proxy를 반드시 통해야 외부 망으로의 접속 허용 여부가 결정되므로 망의 부하가 높아지면 차 단 프락시가 병목 현상을 일으켜 정상적인 인터넷 사용 자에게도 성능 저하를 초래할 수 있다. 본 논문에서는 차단 프락시를 사용하지 않는 새로운 유해 정보 차단 시스템을 제안하는데, 제안된 시스템은 정상적인 사용자의 트래픽 성능에 거의 영향을 미치지 않으면서도 효과적으로 유해 정보 접속을 차단할 수 있도록 하였다.
- 즉, 해커가 본 차단 서버를 망 내에 몰래 설치한 다음에 외부로의 접 속을 시도하는 모든 사용자 연결 요청에 대해 접속을 방해하는 위조 RST 세그먼트를 발송한다면 그 망 내부 의 모든 사용자들은 정상적인 인터넷 서비스를 받을 수 없을 것이다. 이런 경우를 대비하여 본 논문에서는 차 단 서버의 이러한 악용을 막을 수 있는 보완책을 제시 하는데, 차단 서버와 라우터 및 각 사용자 시스템의 상호 협조를 필요로 한다.
- 그러나 본 논문에서는 이러한 프 락시 방식과 달리 일단은 외부로의 모든 트래픽이 모두 외부로 나가는 것을 허용하되, 유해한 사이트로의 접속 시도만 IP spoofing을 사용하여 차단하므로 만일 망 외 부의 유해 사이트로부터의 응답이 위조 RST 세그먼트 보다 먼저 도착했을 경우에는 초기 차단이 실패할 수도 있다. 이에 본 논문에서는 망 외부에 있는 유해 사이트 에 접속하려고 할 경우에 본 차단 시스템을 적용했을 경우의 초기 차단 성공률을 조사하였다. 이를 위해 TCP의 연결 접속 요청 세그먼트인 SYN 세그먼트를 연 속해서 전송하도록 한 에뮬레이터를 linux에서 작성하였다.
- 이 중에서 사용자 시스템에 차단 소프트웨어 설치가 필요한 시스템은 차단 소프 트웨어의 설치 및 유지 보수가 번거롭고 또한 노련한 사용자라면 자신의 시스템에 설치된 차단 관련 个고;트 웨어를 삭제할 수 있다는 문제점이 있다. 이에 본 논문에서는 사용자 시스템에 별도로 차단 소프트웨어를 설 치하지 않고 차단 서버에만 차단 소프트웨어를 설치하여 유해 정보 차단을 할 수 있도록 한 차단 시스템을 개발하였다. 또한, 차단 서버에만 차단 소프트웨어를 두 는 시스템 중에서 사용자로부터 유해 사이트로 향하는 패킷을 일단 버퍼에 저장해 둔 다음에 그 패킷에 있는 URL이 유해한 사이트로의 접근이라고 판단되면 차단 하고 그렇지 않으면 외부로 패킷을 전달하는 방식은 유 해하지 않은 사이트로의 트래픽도 모두 차단 서버의 검 사를 거쳐야만 외부로의 전송이 가능하므로 차단 서버 에서 병목 현상이 발생할 수 있다[1, 2, 7, 8].
※ AI-Helper는 부적절한 답변을 할 수 있습니다.