Abstract:
PURPOSE: A device and a method for detecting and blocking service attack of applied layer distribution are provided to enable a general user to continuously use a service by removing only attacker traffic by exactly extracting an internet address of an attacker. CONSTITUTION: An information collecting unit(104) monitors a service request packet which a plurality of server and a client request during a preset monitoring time. The information collecting unit collects data information transmitted by applied layer. A monitoring unit(106) set the monitoring time. The monitoring unit extracts traffic information in data information collected during a set monitoring time. An analyzing unit(108) determines whether an attack traffic exists or not by comparing the extracted traffic information with a previously learned traffic model.
Abstract:
HTTP를 이용한 서버와 클라이언트 간의 통신에서, 클라이언트로부터 서버로 전송되는 불완전한 GET 요청 메시지에 의한 서비스 거부(DoS) 공격을 탐지하는 방법이 제공된다. 상기 클라이언트가 전송하는 하나의 GET 요청 메시지의 GET 요청 패킷 개수를 카운팅하는 과정을 포함한다. 만약 클라이언트가 전송하는 하나의 GET 요청 메시지가 TCP(Transmission Control Protocol)에서 설정된 MSS값(Maximum Segment Size)보다 클 경우 GET 요청 메시지를 MSS값에 따라 분할하여, 상기 서버로 전송하는 분할된 GET 요청 패킷 개수를 카운팅하는 과정 또한 포함하고, 상기 MSS값을 이용하여 상기 클라이언트가 상기 서버로 하나의 GET 요청 메시지를 분할하여 전송 할 수 있는 패킷의 최대 개수(이하 분할된 GET 요청 최대 패킷 개수)를 계산하는 과정 및 상기 분할된 GET 요청 패킷의 카운팅 된 개수와 상기 분할된 GET 요청 최대 패킷 개수를 비교하여 상기 GET 요청 메시지의 정상 여부를 판단하는 과정을 포함한다.
Abstract:
응용 계층(application layer)에 대한 외부 해커(hacker)들의 공격, 예컨대 분산 서비스 거부(Distribute Denial of Service, DDoS) 공격을 탐지하고 대응하기 위해서, 종래에는 전송률 제한(rate limit) 등의 기술을 이용하고 있다. 이러한 기술들은, 완화된 공격 패킷(packet)이 그대로 서버에 전달되어 서버의 부하가 발생하는 부정 오류(false negative) 현상과, 정상적으로 서비스 요청한 사용자의 패킷이 차단되는 긍정 오류(false positive) 발생 위험을 동시에 지닌다는 문제가 있다. 이에 본 발명에서는, 웹 등의 응용 계층의 서비스를 방해하는 분산 서비스 거부 공격 및 패킷을 정확히 탐지하고 방어할 수 있는 응용 계층 보호 기술을 제안하고자 한다. DDoS, 해킹, 패킷
Abstract:
본 발명은 분산서비스거부 공격 탐지장치 및 방법에 관한 것이다. 즉, 본 발명에서는 HTTP 1.1 프로토콜 기반의 서버와 클라이언트로 이루어지는 네트워크상에서 분산서비스거부 공격을 탐지하는 방법에 있어서, HTTP 1.1 프로토콜을 적용하여 연결 유지 기능을 바탕으로 다수의 GET 요청을 허용하는 서버와 클라이언트로 구성되는 네트워크상 서버의 응용 계층에서 하나의 세션을 통해 반복적으로 GET 요청을 하는 분산서비스거부 공격에 대해 클라이언트의 다수의 GET 요청과 서버의 응답 패킷의 순서를 모니터링하여 서버의 응답완료 전에 또 다른 GET 요청을 전송하는 트래픽을 분산서비스거부 공격의 트래픽으로 판단하는 방식으로 보다 용이하게 분산서비스거부 공격을 탐지할 수 있도록 한다. HTTP, DDoS, 분산서비스거부, 트래픽, GET
Abstract:
본 발명은 응용계층 분산 서비스 거부 공격 탐지 및 차단 기술에 관한 것으로, 모든 프로그램의 응용계층을 대상으로 시도되는 다양한 DDoS 공격을 트래픽의 양을 기반으로 탐지하는 것이 아니라, 사전에 정의한 정상 트래픽 모델과 비교하여 공격 여부를 판단함으로써, 비록 공격 트래픽의 양이 정상 상황하의 트래픽 양과 비교해 많지 않더라도, 발생되는 공격을 탐지하고, 공격의 탐지 결과 특정 공격자의 IP주소를 도출하여, 해당 공격자로부터 전달되는 공격 트래픽만을 원하는 기간 동안 차단할 수 있도록 구현하는 것을 특징으로 한다. 본 발명에 의하면, 정상 사용자의 트래픽을 보호하고 서비스의 지속성을 확보할 수 있다. 응용계층, 분산서비스거부(DDoS) 공격, 공격 트래픽 모델링
Abstract:
PURPOSE: A method and an apparatus for protecting an application layer in a network are provided to detect a DDoS(Distributed Denial of Service) attacker without a false alarm by detecting and taking a measure for an IP or packet which generates a FIN packet just after the occurrence of a GET packet. CONSTITUTION: If a data providing server transfers a SYN+ACK packet, an application layer protection server changes a first state(S1) into a second state(S2). If a client generates a GET packet, the server changes a third state(S3) into an attack detection state(S4). If the response of the data providing server is monitored in priority, the server changes a fourth state(S4) into a sixth state(S6). When the client generates a RESET packet or FIN packet, the server judges the current client as an application layer attack client.
Abstract:
PURPOSE: A method for detecting a service denial attack by low traffic and apparatus thereof are provided to accurately determine a service denial attack by using incomplete GET method request packet. CONSTITUTION: If one GET require-message is longer than an MSS(Maximum Segment Size) value in a TCP(Transmission Control Protocol), a client partitions one GET require-message according to MSS. The client counts the number of packets that are transmitted to a server(S522). The client calculates the maximum number of the GET request packets that are transmitted to the server. The client determines service denial attack of the GET require-message.
Abstract:
PURPOSE: A distributed denial of a service attack search apparatus and a method thereof are provided to monitor the plural GET requests of a client for the DDoS(Distributed Denial of Service) and the order of response packets of a server sequentially to judge the traffic, which transfers another GET request, as the traffic of the DDoS before the response completion of the server. CONSTITUTION: A DDos(Distributed Denial of Service) detection apparatus(200) includes a monitoring unit(202) and an attack detection unit(204). The monitoring unit monitors plural GET requests and responses. According to the session setting between a client(100) and a server(110), the plural GET requests and responses are transmitted and received. The DDoS detection unit analyzes the monitored GET requests and responses, and detects the traffic of DDoS for the server.