[논문]상태기반 DRDoS 공격에 대한 탐지 및 방어기법

김민준; 서경룡

doi:10.5573/ieie.2014.51.5.127

초록
AI-Helper

DRDoS(Distributed Reflective Denial of Service)공격은 정상적인 동작을 하는 반사서버를 통해 이루어지며 공격을 위해 숙주를 필요로 하는 DDoS(Distributed Denial of Service) 에 비하여 훨씬 치명적이다. 유입되는 공격 패킷이 정상적 활동을 하는 반사서버로부터 오기 때문에 전통적인 방식인 소스패킷 분석법으로 DRDoS를 탐지하거나 막는 것은 매우 어렵다. 더욱이 최근에 관심이 대두되는 SCTP(Stream Control Transmission Protocol)의 멀티호밍(multihoming)같은 개선된 기능을 가진 전송프로토콜을 사용하여 공격하면 이에 대한 대처는 더욱 힘들게 되고 공격의 효과는 극대화 할 수 있다. 본 논문에서는 DRDoS가 상태기반 프로토콜의 특징을 활용하는데 착안하여 이에 대응하는 상태기반 탐지방법을 제안하였다. 제안된 방식은 상태기반 파이어 월과 연동하고 전송프로토콜에 따라 구성된 규칙테이블을 통하여 DRDoS공격을 탐지하고 공격에 대한 방어를 수행한다. 규칙테이블은 단순한 구조로 쉽게 갱신이 가능하며 특정한 프로토콜에 대한 제한을 받지 않고 모든 종류의 상태 기반프로토콜의 DRDoS공격에도 대응할 수 있다. 실험을 통하여 공격대상이 알지 못하는 SCTP 같은 차세대 전송프로토콜을 활용한 공격에 대해서도 SCTP의 DRDoS 공격패킷을 잘 탐지하였으며 제안한 방어방식을 통하여 공격패킷의 수를 급격히 감소시키는 것을 확인하였다.

Abstract ▼ AI-Helper

In DRDoS(Distributed Reflective Denial of Service) attacks, the victim is bombarded by packets from legitimate reflector unlike DDoS(Distributed Denial of Service) attacks through zombie, which is more dangerous than DDoS attack because it is in stronger disguise. Therefore, the method of filtering ...

In DRDoS(Distributed Reflective Denial of Service) attacks, the victim is bombarded by packets from legitimate reflector unlike DDoS(Distributed Denial of Service) attacks through zombie, which is more dangerous than DDoS attack because it is in stronger disguise. Therefore, the method of filtering packet method on router are useless. Moreover SCTP(Stream Control Transmission Protocol) multi-homing feature, such as with an improved transmission protocol allows detecting attacks is more difficult and the effect of the attack can be maximized. In this paper we propose a DRDoS detection mechanism based on DRDoS utilizing attention to the characteristics of stateful protocols. The proposed scheme is backed by stateful firewall, and detect DRDoS attacks through a rules table and perform a defense treatment against DRDoS attack. Rules table with a simple structure is possible to easily adapt for any kind of stateful protocol can used by DRDoS attack. The experimental result confirm that our proposed scheme well detect DRDoS attacks using SCTP, the next-generation transmission protocol which not known by victim, and reduce the attacking packets rapidly.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서 제안한 DRDoS방어 시스템을 구현하고 동작과 성능을 평가하기 위하여 시뮬레이션을 실시하였다. 그림 6은 시뮬레이션을 위하여 구현된 시스템으로 공격에 사용되는 외부의 시스템으로 3대의 반사서버와 공격자로 구성하였다.
본 논문에서는 DRDoS가 상태기반 프로토콜의 특징을 활용하는데 착안하여 이에 대응하는 상태기반 탐지 방법을 제안하였다. 상태기반 탐지는 프로토콜의 상태 변화 정보를 바탕으로 각 세션에 대한 상태 테이블을 유지하고 이후 유입되는 변화되는 상태 정보를 바탕으로 준비된 규칙테이블을 참조하여 비정상인 상태의 패킷을 탐지한다.
본 논문에서는 DRDoS가 상태기반 프로토콜의 특징을 활용하는데 착안하여 이에 대응하는 상태기반 탐지 방법을 제안한다. 상태기반 탐지는 프로토콜의 상태 변화 정보를 바탕으로 각 세션에 대한 상태 테이블을 유지하고 이후 유입되는 변화되는 상태 정보를 바탕으로 비정상인 상태의 패킷을 탐지한다.

제안 방법

공격 시뮬레이션에서는 방어기법 테스트의 공정성을 위해 RFC에 정의된 SCTP 프로토콜 재전송 정책을 토대로 시뮬레이션 프로그램을 제작하여 테스트를 진행하였다. 이 공격은 SCTP의 멀티호밍 기능과 재전송 정책의 허점을 이용한 공격으로 재전송되는 데이터의 크기와 공격에 이용되는 반사서버의 개수에 따라서 공격대상이 받는 피해는 증가하게 된다.
탐지장치는 상태기반 파이어 월과 연동하여 동작을 수행한다. 본 논문에서는 실험을 위하여 별도의 파이어 월을 사용하지 않고 상태정보를 저장하고 유지하는 상태기반 함께 구현하여 실험하였다.
우리는 상태기반 탐지 개념을 이용하여 DRDoS를 정확하게 탐지해내고 완화시키는 방법을 제안 한다. 상태 기반 탐지는 상태기반 파이어 월에서 제공하는 상태 변화 정보를 바탕으로 각 세션에 대한 테이블을 갖고 이후 유입되는 트래픽에 따라 해당하는 세션의 상태 정보를 테이블과 함께 변경해 나간다.
제안한 시스템은 일반적인 상태기반공격에 모두 적용할 수 있지만 제안된 방법의 장점을 잘 설명할 수 있는 SCTP를 사용한 DRDoS공격에 대하여 실시하였다. 이때 공격방법은 RFC 5062에 정의된 SCTP Bombing 공격^[14]을 기준으로 한다.

대상 데이터

공격시나리오를 방어시스템이 없이 구동하였을 때 대상서버가 수신하는 패킷의 변화를 표 1에서 볼 수 있다. 본 시뮬레이션에서 공격자는 반사서버에 지속적인 공격을 할 수 있도록 반사서버 n 에 (A ➪ Rn)의 패킷을 전송하는데 실험에서는 (A ➪ R1)=7, (A ➪ R2)=7, (A ➪ R3)=5로 총 19개의 패킷을 전송한다. 공격이 성공하면 대상서버는 세대의 반사서버로부터 1분 동안 총 57개의 패킷을 수신한다.

데이터처리

제안된 방식의 동작과 성능을 실험으로 확인하였다. 실험결과 이미 작성된 규칙테이블로부터 SCTP의 DRDoS 공격패킷을 잘 탐지하였으며 제안한 방어방식을 통하여 공격패킷의 수를 급격히 감소시키는 것을 확인하였다.

이론/모형

제안한 시스템은 일반적인 상태기반공격에 모두 적용할 수 있지만 제안된 방법의 장점을 잘 설명할 수 있는 SCTP를 사용한 DRDoS공격에 대하여 실시하였다. 이때 공격방법은 RFC 5062에 정의된 SCTP Bombing 공격^[14]을 기준으로 한다.

성능/효과

간단한 규칙테이블을 구성할 수 있도록 하여 특정한 프로토콜에 대한 제한을 받지 않고 일반적인 모든 종류의 상태기반프로토콜의 DRDoS공격에도 쉽게 대응 할 수 있다. 따라서 제안된 방법은 TCP 같은 전통적인 프로토콜을 이용한 DRDoS 공격뿐 아니라 공격대상이 알지 못하는 SCTP 같은 차세대 전송프로토콜을 활용한 공격에도 쉽게 대응할 수 있다.
제안된 방식의 동작과 성능을 실험으로 확인하였다. 실험결과 이미 작성된 규칙테이블로부터 SCTP의 DRDoS 공격패킷을 잘 탐지하였으며 제안한 방어방식을 통하여 공격패킷의 수를 급격히 감소시키는 것을 확인하였다.
이상의 결과에서와 같이 제안시스템은 상태기반테이블을 참조하여 정상적인 접속이 아닌 경우의 패킷을 검출할 수 있을 뿐 아니라 지속적인 공격을 방어하는 역할을 잘 수행함을 확인할 수 있다.
제안 방어기법의 장점은 상태기반 정보를 바탕으로 보다 신뢰적인 대처가 가능하다는 것이다. 추가된 정보로 유입 패킷이 정상패킷인지 DRDoS패킷인지를 정확하게 판단할 수 있다.

후속연구

본 논문에서 제안한 방법을 채택하여 방어를 위해 탐지시스템이 보낸 종료패킷을 반사서버가 수신하고 이를 공격자에 대응하도록 한다면 DRDoS 공격에 대한 획기적인 대처방안이 될 것이다. 이에 관한 내용은 외부시스템인 반사서버를 포함한 전송프로토콜과 관련된 것으로 계속된 연구과제로 남긴다.

질의응답

핵심어	질문	논문에서 추출한 답변
	DDoS 공격으로부터 방어하는 일반적인 방법은?	DDoS 공격으로부터 방어하는 일반적인 방법은 ISP 백본에서 탐지기를 구동하여 공격패킷을 탐지하고 탐지된 내용을 네트워크 라우터에 전달하면 네트워크 라우터가 정해진 규칙대로 패킷을 필터링하는 방법이 일반 적이다.
	DRDoS는 무엇을 통해 이루어지는가?	DRDoS(Distributed Reflective Denial of Service)공격은 정상적인 동작을 하는 반사서버를 통해 이루어지며 공격을 위해 숙주를 필요로 하는 DDoS(Distributed Denial of Service) 에 비하여 훨씬 치명적이다. 유입되는 공격 패킷이 정상적 활동을 하는 반사서버로부터 오기 때문에 전통적인 방식인 소스패킷 분석법으로 DRDoS를 탐지하거나 막는 것은 매우 어렵다.
	상태기반 탐지방법의 특징은?	본 논문에서는 DRDoS가 상태기반 프로토콜의 특징을 활용하는데 착안하여 이에 대응하는 상태기반 탐지방법을 제안하였다. 제안된 방식은 상태기반 파이어 월과 연동하고 전송프로토콜에 따라 구성된 규칙테이블을 통하여 DRDoS공격을 탐지하고 공격에 대한 방어를 수행한다. 규칙테이블은 단순한 구조로 쉽게 갱신이 가능하며 특정한 프로토콜에 대한 제한을 받지 않고 모든 종류의 상태 기반프로토콜의 DRDoS공격에도 대응할 수 있다. 실험을 통하여 공격대상이 알지 못하는 SCTP 같은 차세대 전송프로토콜을 활용한 공격에 대해서도 SCTP의 DRDoS 공격패킷을 잘 탐지하였으며 제안한 방어방식을 통하여 공격패킷의 수를 급격히 감소시키는 것을 확인하였다.

참고문헌 (16)

J. Mirkovic and P. Reiher, "A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms." ACM SIGCOMM Computer Communication Review, Vol. 32, no. 2, pp. 39-53, 2004.
M. McDowell, "Understanding Denial-of-Service Attacks." Security Tip (ST04-015), US-CERT, http://www.us-cert.gov/ncas/tips/st04-015.
Douligeris C., and Mitrokotsa A., DDoS Attacks and Defense Mechanisms." A Classification Signal Processing and Information Technology, 2003. ISSPIT 2003. Proceedingsof the 3rd IEEE International Symposium, pp. 190-193, 2003.
S. Gibson, "DRDOS: Distributed Reflection Denial of Service." http://grc.com/dos/drdos.htm, 2002.
J. J. A. Hamilton, Denial of Service: Distributed Reflection DOS Attack, Auburn Information Assurance Laboratory, 2012.
H. Tsunoda, K. Ohta, A. Yamamoto, N. Ansari, Y. Waizumi and Y. Nemoto, "Detecting DRDoS attacks by a simple response packet confirmation mechanism." Computer Communications, Vol. 32, no. 14, pp. 3299-3306, 2008.
Wei Zhou, Lina Wang, Huanguo Zhang, Jianming Fu, "A New DDoS Attack and Countermeasure against It." Computer Engineer and Application, Vol. 1, pp. 144-146, 2003.
Tao Peng, Leckie C., Ramamohanarao K., "Protection from Distributed Denial of Service Attacks Using History-based IP Filtering." 2003. ICC'03, IEEE International Conference on Communications, pp. 482-486. 2003.
Fan Y., Hassanein H., Martin P., "Proactively Defeating Distributed Denial of Service Attacks." Vol. 2, IEEE CCECE 2003. Canadian Conference on Electrical and Computer Engineering, pp. 1047-1050, 2003.
X. Yang, W. Yang, Y. Shi and Y. Gong, "The Detection and Orientation Method to DRDoS Attack Based on Fuzzy Association Rules." Journal of Communication and Computer, Vol. 3, no. 8, pp. 1-10, 2006.
R. Stewart, Q. Xie, K. Morneault, C. Sharp, H. Schwarzbauer, T. Taylor, I. Rytina, M. Kalla, L. Zhang and V. Paxson, "Stream Control Transmission Protocol." rfc2960, 2000.
Jong Shik Ha, Seok Joo Koh and Jung Soo Park, "SCTP versus TCP." 대한전자공학회, ITC-CSCC : 2005 Proceedings Vol. 4, pp. 1477-1478, 2005.
R. Stewart, M. Tuexen and G. Camarillo, "Security Attacks Found Against the Stream Control Transmission Protocol (SCTP) and Current Countermeasures." rfc5062, 2007.
E. P. Rathgeb, C. Hohendorf and M. Nordhoff, "On the Robustness of SCTP against DoS Attacks." Convergence and Hybrid Information Technology, 2008. ICCIT'08. Third International Conference on, pp. 1144-1149, 2008.
H. Kim, J.-H. Kim, I. Kang and S. Bahk, "Preventing session table explosion in packet inspection computers." Computers, IEEE Transactions on, Vol. 54, no. 2, pp. 238-240, 2005.

상세보기
Mohamed G Gouda, and Alex X Liu, "A Model of Stateful Firewalls and Its Properties," in Dependable Systems and Networks, DSN 2005. Proceedings. International Conference on (IEEE, 2005), pp. 128-37, 2005.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

상태기반 DRDoS 공격에 대한 탐지 및 방어기법
A Detect and Defense Mechanism of Stateful DRDoS Attacks 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

데이터처리

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (16)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

상태기반 DRDoS 공격에 대한 탐지 및 방어기법 A Detect and Defense Mechanism of Stateful DRDoS Attacks 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

데이터처리

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (16)

이 논문을 인용한 문헌

저자의 다른 논문 :

서경룡 (17)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

상태기반 DRDoS 공격에 대한 탐지 및 방어기법
A Detect and Defense Mechanism of Stateful DRDoS Attacks 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper