저대역 DDoS 공격 대응 시스템

이형수(Hyung-Su Lee),박재표(Jae-Pyo Park) 한국산학기술학회 2016 한국산학기술학회논문지 Vol.17 No.10

본 논문에서는 향후에도 지속적으로 발생 가능성이 높은 저대역 DDoS 공격에 대비하여 TLF(Time Limit Factor)를 적용한 솔루션을 기존의 고대역 DDoS 방어 시스템에 추가함으로써 고대역의 DDoS 공격과 더불어 저대역 DDoS 공격에 대해서 방어 할 수 있도록 하였다. 저대역 DDoS 공격은 정상적인 서비스 연결을 가장하여 연결된 세션을 지속적으로 점유함으로써 정상적인 사용자들의 서비스 요청에 대한 장애를 유발시킨다는 점에 착안하여 각 세션별 일정시간 동안의 통신량을 체크하여 비정상적인 경우 저대역 DDoS 공격으로 간주하여 해당 세션을 종료시키는 방법이다. 그러나, 정상적인 연결 상태에서도 네트워크의 일시적인 장애들로 인해 통신에 장애를 가져오는 경우 저대역 DDoS 공격으로 오탐하여 서비스를 차단할 수 있다는 점 때문에 저대역 DDoS 공격으로 탐지되었다 할지라도 관련 정보에 대해 Blacklist를 통한 Drop이 아닌 일정 시간동안만 Blocking 후 다시 재 접속이 가능하도록 하였다. 고대역 DDoS 방어시스템을 이용하여 저대역 DDoS 공격에 대한 테스트를 진행한 결과 고대역 DDoS 방어시스템은 저대역 DDoS 공격으로 단순 연결된 세션들에 대해 정상적인 통신으로 인지하여 세션에 대한 차단이 불가하였으며 이로 인해 저대역 DDoS 공격을 받은 시스템은 리소스 고갈로 서비스 불가 현상이 발생하였다. 본 논문에서 제안한 TLF 알고리즘을 고대역 DDoS 방어시스템에 적용하게되면 고대역 및 저대역 DDoS에 대한 방어가 가능할 뿐만 아니라, 서비스를 제공하는 시스템에 모듈형태로 추가 적용을 할 경우 저대역 DDoS 공격에 대한 대처가 가능하다. This study suggests methods of defense against low-level high-bandwidth DDoS attacks by adding a solution with a time limit factor (TLF) to an existing high-bandwidth DDoS defense system. Low-level DDoS attacks cause faults to the service requests of normal users by acting as a normal service connection and continuously positioning the connected session. Considering this, the proposed method makes it possible for users to show a down-related session by considering it as a low-level DDoS attack if the abnormal flow is detected after checking the amount of traffic. However, the service might be blocked when misjudging a low-level DDoS attack in the case of a communication fault resulting from a network fault, even with a normal connection status. Thus, we made it possible to reaccess the related information through a certain period of blocking instead of a drop through blacklist. In a test of the system, it was unable to block the session because it recognized sessions that are simply connected with a low-level DDoS attack as a normal communication.

트래픽 분석을 통한 DDoS 공격에 대한 대응책 연구

홍성혁,Hong, Sunghyuck 중소기업융합학회 2014 융합정보논문지 Vol.4 No.3

DDoS (Distributed Denial Service, 분산 서비스) 공격이 인터넷에서 대하여 끊임없는 위협이 발생되고 있으며, 이에 대한 대응책들이 제시 되었다. 그러나 다양한 공격과 복잡한 공격으로 어떠한 대응법이 효과적인지도 상당히 문제점이 되었다. 공격자들은 이러한 대응에 대해 하기 위하여 꾸준한 공격도구를 변경하고 있으며, 이에 대한 대응책으로써 전문가들 역시 새로운 공격에 대해 끊임없이 연구를 하고 있다. 따라서 본 논문은 DDoS의 최근의 대표적인사례인 7.7DDoS와 3.3DDoS에 대해 살펴보고 기존 DDoS 공격유형인 PPS 증가 공격, 대용량 트래픽 전송, 웹 서비스 지연과 라우터와 방화벽 설정으로 대응방안을 소개하고, 응용프로그램과 인증제도에 의한 DDoS 대응책 연구를 기술하여, 앞으로의 DDoS 공격에 효과적으로 방안할 수 있도는 방법을 제시하였다. DDoS (Distributed Denial Service, Distributed Service) attacks are being generated for a constant threat on the Internet, countermeasures for this have been proposed. However, the problem has become an increasingly effective instruction in any Measures are a variety of attacks and sophisticated attacks. Attackers can change a steady attack tools to respond to these, the experts as a countermeasure to this constantly research for a fresh attack. This paper is to introduce countermeasures to DDoS recent representative examples of 7.7DDoS and look for 3.3DDoS existing types of DDoS attacks increased PPS attacks, high traffic sent, web service delay and router and firewall settings, applications and to describe the DDoS countermeasures research by certification, is so that you can plan effectively for the future DDoS attacks proposed method.

일회성 세션 키 기반 HTTP DDoS 공격 방어기법

최상용(Sang-Yong Choi),강익선(Ik-Seon Kang),김용민(Yong-Min Kim) 한국컴퓨터정보학회 2013 韓國컴퓨터情報學會論文誌 Vol.18 No.8

2009년 77DDoS 대란 이후 DDoS 공격은 사회적 위협으로 발전하고 있다. 이러한 위협에 대응하기 위해 다양한 DDoS방어기법이 연구되고 있으나, DDoS 공격기법 또한 더욱 정교해지고 있다. DDoS 공격의 형태는 과거 네트워크계층의 대용량 트래픽 공격에서 최근에는 애플리케이션 계층의 소량의 정교한 형태(Slow DDoS Attack)로 변하고 있으며 공격을 위한 공격에이전트 또한 더욱 지능화 되고 정상 PC와 구분이 모호하여 차단이 더욱 어렵게 되고 있다. 정상PC와 지능화된 공격에이전트 구분을 위해 최근 사용되는 사용자인증시스템(CAPTCHA)의 경우 인증과정에서 사용자의 개입이 필요하며, 특히 NAT 환경에서 IP 기반 차단 방법은 정상사용자의 트래픽까지 동시 차단될 수 있다. 본 논문에서는 HTTP 프로토콜에서 사용하는 쿠키를 활용한 일회성 세션 키 기반 인증방법을 적용하여 공격 에이전트와 정상 PC를 구분, HTTP DDoS 공격을 효과적으로 차단하기 위한 방어기법을 제안한다. DDoS attacks have became as a social threat since 2009 7.7 DDoS turmoil. Even though defence techniques have been developing to provide against those threats, they become much more sophisticate. In recent years, the attack form of DDoS is changing from high amount of traffic attack of network layers to highly sophisticate small amount of application layers. To make matters worse, attack agent for the attack has became very intelligent so that it is difficult to be blocked since it can't be distinguished from normal PCs. In the user authentication system(such as CAPTCHA) User intervention is required to distinguish normal PCs and intelligent attack agents and in particular, in a NAT environment, IP-based blocking method can be cut off the normal users traffic at the same time. This research examined defense techniques which are able to distinguish between agent and normal PC and effectively block ways the HTTP DDoS offense applying one-time session key based authentication method using Cookie which is used in HTTP protocol to protect web sever from sophisticate application layer of DDoS.

새로운 범죄현상과 형사법의 현대적 과제 사이버상의 신종범죄 DDoS 공격에 대한 형사법적 책임

전지연 ( Ji Yun Jun ) 한국비교형사법학회 2009 비교형사법연구 Vol.11 No.2

Die sog. DoS(Denial-of-Service-Attacken) existieren seit den Anfangen des Internets. Der Ziel des DoS ist es, die Verfugbarkeit bestimmter Server und Dienste einzuschranken. Dabei wird uber das Internet versucht, die angegriffenen Systeme durch das Ausnutzen von Schwachstellen im Betriebssystem zum Absturz zu bringen oder derartig zu uberlassen, daß sie ihre eigene Funk- tionalitat nicht mehr erbringen konnen. Bei einer DoS Attacke wird ein oder werden nur einige wenige Rechner eingesetzt, um das Zielobjekt anzugreifen. Demgegenuber traten im Internet die sog. DDoS(Distributed DoS) auf, die eine Unterart der DoS Attacken darstellen. Anstelle von einzelnen Rechnern, die Ausgangspunkt eines DoS Angriffs benutzt werden, kommen bei einer DDoS Attacke neben einigen wenigen Master-Systemen, den so genannten Handlern, eine Vielzahl von DDoS Agenten zum Einsatz. Die DDoS Angriffe sind großflachig verteilt und koordiniert. Die Anzahl der an einem Angriff beteiligten DDoS Agenten kann variieren. Der Funktionsablauf eines DDoS Angriffs kann in zwei zeitlich nacheinander ablaufenden Phasen unterteilt werden. In Phase I sucht der Angreifer zunachst nach spezifischen ASchwachstellen im Netzwerkbereich mehrerer Rechner, den DDoS Agenten, in denen er anschließend mittels automatisiert ablaufender Exploits das DDoS Agentenprogramm installiert. In Phase Ⅱ werden die DDoS Agenten von einem als zentraler Master programmierten Handler-Rechner angewiesen, ein gemeinsames Zielsystem anzugreifen. Auf ein gezieltes Befehls- kommando des Angreifers hin aktiviert der Handler-Server durch Absendung entsprechender Befehlssequenzen die einzelnen DDoS Agenten. Das angegriffene System beginnt die Datenflut von Anfragen zu bearbeiten. In der Regel werden dabei mehr Anfragen gestellt, als das System beantworten kann, so daß seine Anfnahme- bzw. Verarbeitungskapazitat nicht ausreicht. In Phase Ⅰ ist der Angreifer wegen der Verbreiten der bosen Programm nach dem Gesetz zum Forderung der Kommunikationsnetz und zum Schutz der Daten strafbar. In Phase Ⅱ ist er wegen Unterdrucken der elektronischen Daten(§ 366 KStGB), Computersabotage(§ 314 Abs.2 KStGB) und Sabotage durch die Absendung der massiven Daten(Gesetz zum Forderung der Kommuni- kationsnetz und zum Schutz der Daten) strafbar.

DDoS공격에 대한 형법이론적 검토 및 입법론 - 봇넷구축행위와 데이터전송 후 장애미발생을 중심으로 -

최호진 한국비교형사법학회 2015 비교형사법연구 Vol.17 No.1

In this paper, I undertake the study of Distributed DoS Attacks(DDoS) by reviewing theories and law. DDoS attacks accomplishes what its implies: The attack blocks authorized users from using computers or services that being attacked. DDoS attacks can also be accomplished by overwhelming system resources. DDoS attacks are sent by two or more people, or bots, and denial-of-service attacks are sent by a person or a system. DDoS attacks can be accomplished in two steps. The first step of attack is to disrupt software and thereby prevent a computer or networking equipment from being fully used for particular tasks. It is possible that the person attacking the Internet site was using zombie computers which automatically attempt to get access to my computer. It is the attacker that caused harm to the target information network issues a command to a zombie PC. The act of building a Botnet, or the procedures of DDoS is becoming more organized, intelligent and dangerous. It is a problem that there is no provision for punishment for the attempt and the conspiracy. Therefore it is nesessary to punish the preparation of DDoS with attempted. The act of making malicious code should be also punished. 정보통신망에 장애를 발생시키는 대표적인 공격기법으로 DDoS공격은 크게 봇넷을 구축하거나 공격대상 정보통신망의 취약점을 분석하는 제1단계(준비단계)와 이후 공격대상 정보통신망을 실제로 공격하는 제2단계(공격단계)로 나눌 수 있다. 본 논문에서는 봇넷을 구축하는 제1단계와 데이터등을 전송하였으나 장애가 발생하지 않는 유형에 대하여 집중적으로 논의를 하였다. 일반적으로 공격자가 좀비PC를 확보하는 등 준비단계에서 많은 시간을 투여하고 이 단계에서 명백한 범행의도가 나타나 있음에도 불구하고 처벌의 흠결이 있다. 왜냐하면 DDoS공격 등에 의한 정보통신망장애죄에 대해서는 미수범이나 예비음모 처벌규정을 두고 있지 않기 때문이다. DDoS공격에 대비한 방어체계를 잘 구축하거나 사이버대피소 등을 통하여 피해자들이 적절히 잘 대응한 경우에는 아무런 장애가 발생하지 않았기 때문에 처벌하지 못하는 문제점을 지적하였다. 뿐만 아니라 제1단계의 봇넷 구축단계에서 자주 사용되는 악성프로그램의 경우에도 처벌의 흠결이 있다고 생각한다. 정보통신망법에 따르면 악성프로그램의 전달·유포행위만을 처벌하고 있으며 DDoS공격에 사용될 악성프로그램을 제작하는 행위에 대해서는 처벌하지 않는다. 프로그램에 특정 서버를 공격할 의도가 분명히 드러나 있거나 다른 사용자의 PC에 대한 권한을 확보할 의도가 보이거나 웜(Worm)형태의 프로그램으로 제3자에게 유포될 가능성이 있는 프로그램을 제작하였음에도 불구하고 이에 대한 처벌할 수 없다는 것은 문제가 있다. 이에 본문에서는 악성프로그램 제작행위에 대한 처벌규정이 마련될 필요가 있다는 점, 정보통신망장애죄에 대한 미수범 처벌규정이 마련될 필요가 있다는 점, 봇넷구축행위 및 공격대상 서버에 대한 탐지행위에 대하여 예비음모처벌 규정을 검토할 필요가 있다는 점을 지적하였다.

검증된 IP 테이블을 사용한 통계 기반 DDoS 대응 시스템

박필용,홍충선,최상현,Park, Pilyong,Hong, Choong-Seon,Choi, Sanghyun 한국정보처리학회 2005 정보처리학회논문지 C : 정보통신,정보보안 Vol.12 No.6

DDoS (Distributed Denial of Service) attack is a critical threat to current Internet. To solve the detection and response of DDoS attack on BcN, we have investigated detection algorithms of DDoS and Implemented anomaly detection modules. Recently too many technologies of the detection and prevention have developed, but it is difficult that the IDS distinguishes normal traffic from the DDoS attack Therefore, when the DDoS attack is detected by the IDS, the firewall just discards all over-bounded traffic for a victim or absolutely decreases the threshold of the router. That is just only a method for preventing the DDoS attack. This paper proposed the mechanism of response for the legitimated clients to be protected Then, we have designed and implemented the statistic based system that has the automated detection and response functionality against DDoS on Linux Zebra router environment. DDoS는 네트워크나 개인 호스트를 위협하는 대표적인 공격 트래픽이다. DDoS 공격은 특정한 패턴을 가지고 있지 않기 때문에 탐지가 어려울 뿐 아니라, TNF2K와 같은 간단한 도구로 공격이 가능하여, 현재 추진 중인 BcN 환경에서도 그 심각성이 초래될 수 있다. 이러한 DDoS 를 탐지하기 위한 메커니즘이나 알고리즘은 많이 개발되었다. 하지만 DDoS의 근원지를 판별하고 대응하는 것이 아닌, 단지 방어 지점에서 전체 한계치를 낮추거나 리키버킷처럼 수용 능력 이상의 패킷을 폐기하는 방법으로 네트워크나 개인 호스트를 보호한다. 무분별하게 전체 트래픽을 줄이는 것은 네트워크의 자원을 고갈시키지는 않지만, 정상적인 클라이언트가 공격당하고 있는 호스트에 연결을 할 수가 없다. 이를 위해 여러 단계의 테스트를 통해 합법적인 검증 IP 테이블을 만들고, 검증 IP 테이블에 있는 소스 IP를 제외한 나머지 트래픽을 차단한다면 DDoS 공격에 대해서 대응을 하면서 정상적인 클라이언트의 연결을 보호 할 수 있다. 제안된 메커니즘을 Linux Zebra라우터환경에서 구현되었다.

연구논문 : 사이버테러의 형사책임

박종열 ( Jong Yeol Park ) 연세대학교 법학연구원 의료·과학기술과 법센터 2012 연세 의료·과학기술과 법 Vol.3 No.1

대한민국의 인터넷 이용자수는 3700만 명으로 인터넷 이용률이 78%에 달하고 있고, OECD가 발표한 초고속인터넷가입자통계에서도 볼 수 있듯이 대한민국은 정보화의 정도에서 인터넷 선진국이라고 할수 있다. 비록 대한민국의 영토는 작지만 인터넷을 통한 사이버공간에서는 세계에서 영향력 있는 국가가 된 것이다. 하지만 사이버공간이라는 새로운 생활공간에서 사이버범죄라고 불리는 새로운 유형의 범죄들이 우후죽순처럼 나타나기 시작하였다. 사이버범죄는 컴퓨터와 정보통신기술의 결합으로 등장한 인터넷이라는 새로운 생활공간인 사이버공간에서 행해지는 범죄적 현상의 총칭을 사이버범죄라 정의할 수 있다. 경찰청 사이버대응센터에서는 사이버범죄를 크게 ‘사이버테러형 범죄’와 ‘일반사이버범죄’로 나누고 있다. 사이버테러형 범죄는 해킹, 악성프로그램의 유포와 같이 고도의 기술적인 요소가 포함되어 있는 정보통신망 자체에 대한 공격행위를 통해 이루어지는 것을 말한다. 본고에서는 사이버테러형 범죄에서 해킹, 악성프로그램 유포, DDoS 공격을 중심으로 대표적인 사례를 살펴보고, 이에 대한 형사책임을 검토해보고자 한다. 먼저 해킹에 의한 사이버범죄에서는 ‘네이트(www.nate.com) 개인 정보유출사건’을 중심으로 해킹의 의미와 행위유형에 따른 형사책임에 대해 살펴보고자 한다. 해킹은 비인가자에 의한 컴퓨터의 부당한 사용, 자료의 불법적인 열람, 유출, 변조, 삭제 및 컴퓨터시스템의 정상적인 동작과 서비스를 방해하는 컴퓨터 범죄행위를 의미하고, 이에 대해서는 정보통신망법상 정보통신망 침입죄가 성립한다. 두 번째 악성프로그램에 의한 사이버범죄에서는 ‘검색어 후킹 프로그램 배포사건’을 중심으로 악성프로그램의 의미와 행위유형에 따른 형사책임을 살펴본다. 악성프로그램이란 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램을 말한다. 악성프로그램을 유포한 경우 정보통신망법상 악성프로그램 전달·유포죄와 형법상 업무방해죄가 성립할 수 있다. 마지막으로 DDoS 공격에 의한 사이버범죄에서는 ``7·7 DDoS 공격대란사건’을 중심으로 DDoS 공격의 의미와 단계별 행위유형에 따른 형사책임을 살펴볼 것이다. DDoS 공격은 ‘분산서비스거부 공격’이라고 하며, 해커가 감염시킨 대량의 좀비 PC를 이용해 특정 시스템으로 다량의 패킷을 무차별적으로 보내 과도한 트래픽으로 시스템을 마비시키는 사이버 공격을 말한다. DDoS 공격을 한 경우 정보통신망법상 악성프로그램 전달·유포죄와 대량데이터전송업무방해죄 등이 성립가능 하다. The number of internet users in Korea reaches 37 million and the rate of internet using households is 78%. According to the OECD Broadband Statistics, Korea is an advanced country in terms of the level of information availability. Despite its small size, Korea is now considered as one of the leading countries in internet and broadband internet use. However, a new type of crime called cybercrime is beginning to spring up all over cyberspace. Cybercrime is defined as “offences that are committed using the Internet against individuals or groups of individuals with a criminal motive to intentionally harm the reputation of the victim or cause physical or mental harm to the victim directly or indirectly”. Since its launching of the Cyber Terror Response Center (CTRC) in 2000, the Korean National Police Agency has put cyber crimes into two categories; one is ‘Cyber Terror Type Crime’ and the other is ‘General Cyber Crime.’ ‘Cyber Terror Type Crime’ refers to attacks against the information network itself such as hacking, distribution of malicious programs and DDoS (Distributed Denial of Service) attacks. This study reviews the cases which are related to hacking, distribution of malicious program and DDoS attacks and further examines the criminal liability of these crimes. First, this study defines hacking and criminal liability by reviewing the "Private Information Leakage case of Nate (www.nate.com)" step by step in the section of Hacking. Hacking means criminal activity that includes intrusion into other`s computers or computer networks, impairment of programs or data held in computers and inteference of the operation of computers. After committed intentionally, it constitutes an “unauthorized access” as violation of the ``Act on Promotion of Information and Communications Utilization and Information Protection, etc`` and a violation of the ``Information Communication Infrastructure Protection Act``. Second, this study defines distribution of malicious programs and criminal liability by reviewing the "Distributing Keyword hooking program" step by step in the section of distribution of malicious programs. Malicious programs are programs with any set of computer instructions that are designed to modify, damage, destroy, record, or transmit information within a computer, computer system, or computer network without the intent or permission of the owner of the information. Distributing malicious programs may violate the ``Act on Promotion of Information and Communications Utilization and Information Protection, etc`` and constitute “interference with business“ as stipulated in the Criminal Code. Finally, this study defines DDoS Attack and criminal liability by reviewing the "July 2009 DDoS attacks" step by step in the section of DDoS Attack. DDoS is a method of attacking a computer system by flooding it with so many messages that it is obliged to shut down. Committing DDoS attacks are illegal according to the ``Act on Promotion of Information and Communications Utilization and Information Protection, etc``.

SSL 디도스 공격 대응 방안에 대한 연구

이상근,김도형,정순기 한국융합보안학회 2021 융합보안 논문지 Vol.21 No.5

디도스 공격은 예전부터 있어 왔었던 고전적인 공격방법으로 기업 인터넷서비스를 마비시키는 가장 쉬운 방법 중에 하나 로 오늘날까지도 지속적으로 이용되어 지고 있다. 지금까지 디도스 공격에 대해서는 많은 분석이 이루어 졌으며 다양한 디도 스 대응 장비들이 출시되어 기업의 인터넷서비스를 디도스로 부터 보호하고 있다. 하지만 데이터 보안의 이유로 인터넷서비스 에 SSL 통신 사용이 대중화되고 있으며 이를 이용한 디도스 공격에 대한 우려도 증가하고 있다. 본 논문에서는 SSL 디도스 공격 사례를 분석하고 이를 기 운영중이었던 디도스 대응 시스템 및 SSL 가속기에서 효과적으로 대응할 수 있는 방안에 대해 제시한다. DDoS attacks are one of the easiest ways to paralyze corporate Internet services as a classic attack method that has existed for a long time, and are still being used today. So far, many analyses have been conducted on DDoS attacks, and various DDoS defense system has been released to protect corporate Internet services from DDoS. However, the use of SSL communication in Internet services is becoming popular for data security reasons, and concerns about DDoS attacks using it are also increasing. In the paper, we analyze cases of SSL DDoS attacks and defense ways to effectively defense to DDoS defense system and SSL accelerator that were previously in operation.

IoT기기에서 SSDP 증폭 공격을 이용한 공격기법 및 대응 방안

오주혜,이근호 한국융합학회 2016 한국융합학회논문지 Vol.7 No.4

DDoS 공격은 네트워크나 서버 대역이 감당할 수 없는 수많은 양의 트래픽을 일으켜 서버를 마비시키는 공격수단으로 최근까지 지속적으로 이용되고 있다. 대부분 DDoS의 가장 큰 원인은 NTP라고 생각하지만, 최근 일어난 DDoS 공격들을 본다면 증폭기법을 이용한 SSDP 공격을 많이 사용하였음을 알 수 있다. SSDP의 특성상 소스 IP주소 위조와 증폭 요소를 가능하게 해주는 연결이 없는 상태 때문에 공격에 많이 활용되고 특히 웹캠, 공유기, 미디어, 스마트TV, 프린터 등 스마트 홈을 구성하는 IoT기기들에서 DDoS공격을 유발하는 도구로 주로 사용되는 프로토콜이기 때문에 점차 공격을 위한 서버들이 증가될 것으로 예상한다. 이는 단순한 IoT기기의 위협만이 아닌 사람의 생명이나 주요 정부기관 및 기업 시스템의 중요정보에 큰 위험을 가져올 수 있다. 본 논문에서는 IoT기기에서 발생하는 SSDP 프로토콜의 취약점을 이용한 DDoS공격기법을 알아보고 공격시나리오 및 대응 방법을 제안한다. DDoS attack has been continuously utilized that caused the excessively large amount of traffic that network bandwidth or server was unable to deal with paralyzing the service. Most of the people regard NTP as the biggest cause of DDoS. However, according to recently executed DDoS attack, there have been many SSDP attack in the use of amplified technique. According to characteristics of SSDP, there is no connection for making a forgery of source IP address and amplified resources feasible. Therefore, it is frequently used for attack. Especially, as it is mostly used as a protocol for causing DDoS attack on IoT devices that constitute smart home including a wireless router, media server, webcam, smart TV, and network printer. Hereupon, it is anticipated for servers of attacks to gradually increase. This might cause a serious threat to major information of human lives, major government bodies, and company system as well as on IoT devices. This study is intended to identify DDoS attack techniques in the use of weakness of SSDP protocol occurring in IoT devices and attacking scenario and counter-measures on them.

DDoS공격감지 및 방어를 위한 침입방지 시스템의 설계

홍성식(Hong, Seong-Sik) 한국산학기술학회 2014 한국산학기술학회논문지 Vol.15 No.11

본 논문에서는 네트워크를 통해 이루어지고 있는 DDoS공격을 감지하고 이를 방어할 수 있는 시스템을 설계한다. 제안하는 시스템은 경고 에이전트(Alert Agent), 공격분석 에이전트(Attack Analyzer Agent), 방어 에이전트(Defence Agent)의 3-티어(3-tier) 시스템으로 구성한다. 경고에이전트는 서버에서 서버의 자원이 부족해지는 시점에 공격분석에이전 트로 서버의 트래픽을 복사하여 전송한다. 공격분석 에이젼트로 전송되는 트래픽은 송수신자 주소 및 패킷번호만을 처리하 여 분석에이젼트의 부하를 감소한다. 공격분석 에이전트는 받은 트래픽을 분석하여 DDoS의 패턴과 일치하는지 검사한 후 DDoS공격으로 판단하면 방어에이전트에게 해당 발신자의 트래픽을 소멸하도록 지시한다. 이 시스템에서는 서버가 DDoS공 격으로 인하여 과부하가 발생하여 작동이 중지되더라도 공격분석 에이전트가 DDoS트래픽을 선별하여 방어 에이젼트에게 차단하도록 지시하여 서버가 최대한 빨리 복구되도록 동작한다. This paper proposes a system design of IDS for detecting and defending against DDoS attacks on a network. The proposed system has three parts; the Alert, Attack Analyzer and Defense agent. When the server resource was reduced too much by incoming traffic, the Alert Agent sends message and traffic information to the Attack Analyzer. The message and traffic to the Attack analyzer include only the sender & receiver address and packet numbers for minimizing the overload of Attack Analyzer. Message Received Attack Analyzer investigates the Message. If the pattern of traffic is the same as the DDoS Style, the Analyzer sends a message to the Defense Agent to block that traffic. In this system, at the serious state of the server-down, the Attack analyzer uncovers the DDoS Attacker and send a message to the Defense Agent to block that traffic. This works for server reactivation as soon as possible.