초고속 인터넷 망등의 국내 인터넷의 저변확대로 인해 전자상거래, 인터넷뱅킹, 전자정부, 이메일등 의 많은 서비스와 다양한 정보의 보고로서 인터넷이 사용되고 있다. 근래에는 가상생환환경의 제공과 멀티미디어 서비스를 제공하고자 새로운 미래형 네트워크인 NGN(Next Gener-ation Network)로서 발전하고 있다. 인터넷은 원격지에서도 원하는 정보를 취득할 수 있는 장점이 있는데, 반대 급부로서 상대방의 정보를 허가없이 몰래 추출, 변조하거나 서비스를 제공하는 경쟁사의 서버를 다운시키는 등의 공격이 증대되고 있다. 2000년부터 님다(Nimda) 바이러스, 코드레드(Code Red) 바이러스, 분산서비스 거부 공격(DDoS : Distributed Denial of Service)이 인터넷 전반에 걸쳐 수행되어 네트워크의 사용을 불편하게 하며, 내부 네트워크 트래픽의 비정상적인 증가를 수반했다. 이러한 대역폭 고갈 침해공격에 대하여 네트워크의 유입점에 위치하는 게이트웨이 시스템에 기가비트 이더넷인터페이스를 갖는 보안네트워크 카드에 재구성 가능한 하드웨어 기능을 제공 가능한 FPGA (Field Programmable Gate Arrart)상에 대역폭 재어기능인 폴리싱(Policing)을 구현한다.
초고속 인터넷 망등의 국내 인터넷의 저변확대로 인해 전자상거래, 인터넷뱅킹, 전자정부, 이메일등 의 많은 서비스와 다양한 정보의 보고로서 인터넷이 사용되고 있다. 근래에는 가상생환환경의 제공과 멀티미디어 서비스를 제공하고자 새로운 미래형 네트워크인 NGN(Next Gener-ation Network)로서 발전하고 있다. 인터넷은 원격지에서도 원하는 정보를 취득할 수 있는 장점이 있는데, 반대 급부로서 상대방의 정보를 허가없이 몰래 추출, 변조하거나 서비스를 제공하는 경쟁사의 서버를 다운시키는 등의 공격이 증대되고 있다. 2000년부터 님다(Nimda) 바이러스, 코드레드(Code Red) 바이러스, 분산서비스 거부 공격(DDoS : Distributed Denial of Service)이 인터넷 전반에 걸쳐 수행되어 네트워크의 사용을 불편하게 하며, 내부 네트워크 트래픽의 비정상적인 증가를 수반했다. 이러한 대역폭 고갈 침해공격에 대하여 네트워크의 유입점에 위치하는 게이트웨이 시스템에 기가비트 이더넷 인터페이스를 갖는 보안네트워크 카드에 재구성 가능한 하드웨어 기능을 제공 가능한 FPGA (Field Programmable Gate Arrart)상에 대역폭 재어기능인 폴리싱(Policing)을 구현한다.
Nowadays NGN is developed for supporting the e-Commerce, Internet trading, e-Government, e-mail, virtual-life and multimedia. Internet gives us the benefit of remote access to the information but causes the attacks that can break server and modify information. Since 2000 Nimda, Code Red Virus and DS...
Nowadays NGN is developed for supporting the e-Commerce, Internet trading, e-Government, e-mail, virtual-life and multimedia. Internet gives us the benefit of remote access to the information but causes the attacks that can break server and modify information. Since 2000 Nimda, Code Red Virus and DSoS attacks are spreaded in Internet. This attack programs make tremendous traffic packets on the Internet. In this paper, we designed and developed the Bandwidth Controller in the gateway systems against the bandwidth saturation attacks. This Bandwidth con-troller is implemented in hardware chipset(FPGA) Virtex II Pro which is produced by Xilinx and acts as a policing function. We reference the TBF(Token Bucket Filter) in Linux Kernel 2.4 and implemented this function in HDL(Hardware Description Language) Verilog. This HDL code is synthesized in hardware chipset and performs the gigabit traffic in real time. This policing function can throttle the traffic at the rate of band width controlling policy in bps speed.
Nowadays NGN is developed for supporting the e-Commerce, Internet trading, e-Government, e-mail, virtual-life and multimedia. Internet gives us the benefit of remote access to the information but causes the attacks that can break server and modify information. Since 2000 Nimda, Code Red Virus and DSoS attacks are spreaded in Internet. This attack programs make tremendous traffic packets on the Internet. In this paper, we designed and developed the Bandwidth Controller in the gateway systems against the bandwidth saturation attacks. This Bandwidth con-troller is implemented in hardware chipset(FPGA) Virtex II Pro which is produced by Xilinx and acts as a policing function. We reference the TBF(Token Bucket Filter) in Linux Kernel 2.4 and implemented this function in HDL(Hardware Description Language) Verilog. This HDL code is synthesized in hardware chipset and performs the gigabit traffic in real time. This policing function can throttle the traffic at the rate of band width controlling policy in bps speed.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 분산서비스거부 공격과 같은 네트워크 고 갈공격에 대응하기 위하여 네트워크의 접속점에 InTine형태로 위치하는 게이트웨이 시스템 내에 탐재되는 보안카드 를 통하여 네트워크 유해 트래픽을 탐지하고 대응을 수행한다.
가설 설정
. 매뉴얼 반응(Manual Response) : 사람이 직접 수작업을 통해 방어를 하는 경우는 그 대응이 너무 부분적이 며 즉각적인 반응이 어려울 것이다. DDoS 공격을 당 했을 때 전형적인 첫번째 반응은 해당 ISP에 연락해 서 소스를 밝혀달라고 요청하는 일이다.
. 침입탐지시스템(IDS) : 첫째, 기존의 시그니처 방식에만 의존하는 IDS는 정상적인 패킷으로 가장한 변형된 형태의 공격에 대해서는 해당 공격 시그니처가 없이는 방 어가 어렵다. 둘째, DDoS 공격을 방어하는 수단으로서 IDS의 가장 큰 한계점은 단지 공격을 탐지만 할 수 있고, 방어할 수 있는 어떠한 수단도 제공하지 못한다는 점이다.
제안 방법
기존의 정적인 차단솔루션에 접목된 수동적인 탐지기 술만으로는 최신의 고도화된 공격을 효과적이며 즉각적으로 방어하기 어렵다. 본 논문에서 제안한 2개의 토큰버켓을 이용한 재구성 가능한 대역폭 제어 메커니즘은 현재 2Gbps Ethernet에 맞게 설계되고 구현되었고, 현재 PoS망에 적용 가능하도록 설계 및 구현이 진행중이다. 이를 ISP의 Core망 인 Backbone에 위치시키기 위해 각 기가비트 보안카드 또는 Pos 보안카드를 실장한 lOGbps, 또는 20Gbps의 속도를 지원하는 게이트웨이 시스템의 구현과 메커니즘의 튜닝, 세부적인 기법의 연구가 추가 연구 및 개발되어야 할 것이다.
본 논문에서는 두 개의 버켓을 별도로 구성하지 아니하고, 두 개의 한개치(Threshold)를 갖도록 스택을 구성하였다. 이렇게 구성된 스택형 메모리는 충전 메커니즘에 의하여 정기 적으로 토큰이 더해지고, 패킷크기만큼 패킷 유입시마다 토 큰을 제거한다.
(그림 3)②와 같은 데이터 구조에서 CurrentToken, AddedToken, ExcessToken, TotalToken의 값을 메모리에서 읽 어와 해당 레지스터에 기록한다. 이 기록된 값 중 Current- Token과 ExcessToken과의 비교를 통하여 현재 Token이 Bucket의 Confirm 상태인지, NonConfirm 상태인지 파악한다. Confirm 상태의 경우에는 CurrentToken에 충전시기마 다 더해지는 토큰수를 나타내는 AddedToken을 더한 결과가 TotalToken보다 크지 않도록 설정하는 프로세스이다.
트래픽 생성 및 분석 장치인 IXIA 장비를 이용하여 양방 향 트래픽에 대하여 기가비트 이더넷을 이용하여 구현된 보 안카드를 장착한 게이트웨이 시스템에 (그림 8)과 같이 테 스트 하였다.
대상 데이터
최근에는 기업의 서비스용 웹 사이트나 서버들에 대한 공 격을 통해 서비스를 하지 못하도록 네트워크를 마비시키는 공격 형태에서 점차 ISP(Intemet Service Provider)의 코어 (Core) 라우터, DNS 서버들을 직접 공격해서 인터넷 인프 라 자체를 완전히 마비시키는 형태로 발전해 가고 있다. 인 터넷의 IP등을 관리하는 기관인 ICANN에 대한 공격으로 2002년 10월에 발생했던 13개의 최상위 루트 DNS(Domain Name Service) 서버들에 대한 대규모의 무차별적 공격으로 적지 않은 혼란을 주었던 사례가 있었다. 또한, 2003년 1월 에 발생했던 1.
이론/모형
보안카드내에 존재하는 대역폭 제어기능은 더블 토큰 버 켓 메커니즘을 적용하여 구현하였다. 더블 토큰 버켓 메커 니즘을 일반적인 스택의 데이터 구조로서 변경하면 (그림 3)①과 같은 구조를 갖는다.
하드웨어로 토큰버켓 메커니즘을 구현하기 위하여 듀얼 포트 메모리를 이용하였다. 듀얼-포트 메모리를 이용하는 경우 서로 다른 프로세스가 동시에 메모리에 대하여 접근이 가능하다.
성능/효과
상기와 같은 실험을 통하여 보안카드내의 FPGA에 구현 된 대역폭 제어기능은 IGbps의 속도를 갖는 양방향 트래픽 에 대하여 패킷의 유실없이 송신/수신을 제공한다. 대역폭 제어를 하려는 패킷에 대하여 각 플로우별로 40Mbps로 대 역폭을 제어하여 총 8개의 플로우에 대하여 (그림 8)과 같이 320Mbps로 제어하는 결과를 보여준다. 보호되어야 할 정상 트래픽에 대하여서도 40Mbps의 입력 트래픽을 패킷의 유실 없이 전달함을 볼 수 있다.
본 논문에서 지원하기 위한 대역폭 제어기능(Bandwidth Controller)는 Shaping과 Policing으로 구현 가능하다. Shap- ing과 Policing을 제공하기 위하여 Queue를 이용하는 Leaky Bucket 모델과, Queue를 이용하는 Token Bucket 모델이 존 재한다.
방화벽(Firewall) : 방화벽은 몇가지 한계점을 가지고 있다. 첫째, 방화벽은 네트워크 트래픽이 흐르는 경로 의 내부(In-line)에 위치하기 때문에 방화벽 자체가 공 격의 대상이 되어 대용량의 공격 트래픽에 의해 다운되 게 되면 방화벽을 통과하여 전달되는 모든 트래픽이 단 절되어, 전체 네트워크가 마비되는 문제가 발생할 수 있다. 둘째, 방화벽이 비정상적인 행위를 정확히 탐지 할 수 있다고 할지라도 개별 패킷들에 대해서 정상적인 것인지 아닌지의 여부를 구분할 수 있는 기능이 없기 때문에 스푸핑된 소스에서의 공격은 방어하기 어렵다.
후속연구
침입탐지시스템(IDS) : 첫째, 기존의 시그니처 방식에만 의존하는 IDS는 정상적인 패킷으로 가장한 변형된 형태의 공격에 대해서는 해당 공격 시그니처가 없이는 방 어가 어렵다. 둘째, DDoS 공격을 방어하는 수단으로서 IDS의 가장 큰 한계점은 단지 공격을 탐지만 할 수 있고, 방어할 수 있는 어떠한 수단도 제공하지 못한다는 점이다. IDS는 효과적인 방어 솔루션과 통합/연계되어 상호 보완적인 기능을 수행하는 형태로 활용되어야 할 것이다.
둘째, 스푸핑된 공격에 대해서는 uRPF를 이용한 방어법이 권고되고 있으나 실제로 구현하는 것은 한 계가 있다. 셋째, 라우터의 ACL기능은 소스가 스푸핑 되었는가 여부에 상관없이 HTTP 에러와 HTTP halfopen 커넥션 공격 같은 애플리케이션 레이어의 공격에 대해선 그 효과를 발휘하기 어렵다는 한계점을 가진다.
본 논문에서 제안한 2개의 토큰버켓을 이용한 재구성 가능한 대역폭 제어 메커니즘은 현재 2Gbps Ethernet에 맞게 설계되고 구현되었고, 현재 PoS망에 적용 가능하도록 설계 및 구현이 진행중이다. 이를 ISP의 Core망 인 Backbone에 위치시키기 위해 각 기가비트 보안카드 또는 Pos 보안카드를 실장한 lOGbps, 또는 20Gbps의 속도를 지원하는 게이트웨이 시스템의 구현과 메커니즘의 튜닝, 세부적인 기법의 연구가 추가 연구 및 개발되어야 할 것이다.
참고문헌 (14)
Paul Ferguson, Geoff Huston, Quality of Service - Delivering QoS on the Internet and in Corporate Networks, Wiley Computer Publishing, 1998
Pars Mutaf, 'Defending against a Denial-of-Service Attack on TCP,' In Proceedings of the 2nd International Workshop on Recent Advances in Intrusion Detection (RAID'99), 1999
Werner Almesberger, 'Linux Network Traffic Control - Implementation Overview,' http://lcawww.epfl.ch/ Publications/Almesberger/TR98_037.ps, EPFL ICA, 1999
I. Garber, 'Denial-of-Service Attacks Rip the Internet,' IEEE Computer, pp.12-17, April, 2000
David McDysan, QoS & Traffic Management in IP & ATM Networks, MacGraw-Hill, 2000
Geoff Huston, Internet Performance Survival Guide - QoS Strategies for Multiservice Networks, Wiley Computer Publishing, 2000
Werner Almesberger, 'Linux Network Traffic Control - Implementation Overview 2001,' EPFL ICA, 2001
David Moore, Geoffrey M, Voelker and Stefan Savage, 'Interfering Internet Denali-of-Service Activity,' In Proceedings of the 10th USENIX Security Symposium, pp.9-22, August, 2001
※ AI-Helper는 부적절한 답변을 할 수 있습니다.