Pi를 이용한 flooding-based DDoS attack의 방어기법
Flooding-based DDoS Defense using Pi
- 발행기관 아주대학교 정보통신전문대학원
- 지도교수 홍만표
- 발행년도 2004
- 학위수여년월 2005. 2
- 학위명 석사
- 학과 및 전공 정보통신전문대학원 정보통신공학과
- 본문언어 한국어
초록/요약
DDoS attack은 정상적인 사용자들이 서비스를 이용하지 못하도록 막는 공격인 DoS attack이 분산된 형태로 일어나는 공격이다. 여러 가지 공격 형태 중 flooding-based DDoS attack은 방어하기 가장 어려운 공격이다. 그 이유는 공격자가 단순히 많은 양의 패킷을 보내면서 공격하기 때문에 트래픽 양을 기준으로 공격이 일어난 것인지 사용자 폭주가 일어난 것인지 구별할 수 없기 때문이다. 즉, 공격 트래픽과 정상 트래픽을 구별할 수 없다. 제안하는 기법의 목적은 Pi 라는 패킷마킹기법을 이용하여 flooding-based DDoS attack을 효율적으로 방어하는 것이다. 기본적인 아이디어는 Pi가 가지는 특징과 공격의 특성을 이용하는 것이다. Pi의 특징은 같은 경로로 전송되는 패킷은 모두 같은 마킹값을 가진다는 것이다. 즉, 같은 소스 어드레스에서 출발하는 패킷은 모두 같은 마킹값을 가진다. 공격의 특성은 단독의 공격 호스트가 보내는 패킷 양이 정상 호스트가 보내는 패킷 양보다 훨씬 많다는 것이다. 즉, 한 호스트가 보내는 패킷 양을 비교해보면 공격 호스트가 보내는 패킷 양이 훨씬 많다. 이 두 가지 특징을 결합하면 동일한 마킹값이 많이 발생하면 해당 마킹값을 가지는 패킷을 공격 패킷이라고 간주할 수 있다. 빈도수 검사 기법은 마킹값의 빈도수를 세서 빈도수가 높은 패킷을 공격 호스트가 보낸 패킷이라고 간주하고 필터링하는 것이다. 빈도수 검사 기법을 이용하면 마킹값을 근거로 공격 트래픽과 정상 트래픽을 구별할 수 있다. 하지만, 빈도수 검사 기법은 심각한 문제점을 가진다. 만약 피해 호스트 가까이 위치한 공격자가 있어서 마킹 필드(16비트)를 모두 채우지 못한다면 피해 호스트가 정확한 마킹값을 받을 수 없기 때문이다. 정확하지 않은 마킹값들로 인해 공격 호스트가 보내는 패킷인데도 불구하고 마킹값들이 분산되어 빈도수가 높지 않게 되는 것이다. 제안하는 기법은 빈도수 검사 기법의 문제점을 해결한 방법이다. 기본적인 아이디어는 빈도수를 셀 때 마킹 필드를 전체로 세는 것이 아니라 몇 개의 섹션으로 나누어 섹션별로 빈도수를 세는 것이다. 제안하는 기법은 빈도수 검사 기법의 문제점을 해결하면서 flooding-based DDoS attack을 효율적으로 방어할 수 있다.
more초록/요약
DDoS attack is short for "distributed denial of service attack" and whose goal is to deny the service to the legitimate users. Among several types of attacks, flooding-based DDoS attack is the most difficult problem to defend against. Since the attackers send seemingly legitimate packets, we cannot distinguish between attack packets and normal packets. The proposed method is "flooding-based DDoS defense using Pi". The proposed method uses the characteristic of Pi and the common feature of the attack. The characteristic of Pi is that all packets traversing the same path have the same marking value. That is, all packets from the same source IP address have the same marking value. And, the common feature of the attack is that the attack traffic volume form single path is much higher than the legitimate traffic volume from several paths. Therefore, when DDoS attack occurred, certain marking value of incoming packets is observed frequently. Frequency checking method is the method which counts all observed marking values and then performs the packet filtering whose frequency is high. Frequency checking method is the efficient method, but it has a serious problem. The proposed method supplements the problem of frequency checking method, and defenses flooding-based DDoS attack effectively.
more목차
목차
제 1 장 서론 = 1
제 2 장 관련 연구 = 3
제 1 절 IP traceback = 3
제 2 절 Pi (Path Identification) = 3
제 3 장 빈도수 검사 기법 = 6
제 1 절 개요 = 6
제 2 절 빈도수 검사 기법의 문제점 = 7
제 4 장 제안하는 기법 = 10
제 1 절 개요 = 10
제 2 절 제안하는 기법의 효율성 = 11
제 3 절 제안하는 기법의 절차 = 14
제 5 장 시뮬레이션 = 15
제 1 절 시뮬레이션 환경 = 15
제 2 절 경로 생성 = 15
제 3 절 시뮬레이션 결과 = 18
제 6 장 결론 = 21
제 7 장 이후 연구 = 22
제 8 장 참고 문헌 = 24
목차
그림 목차
그림 1. 2-bit 마킹 기법의 예 = 4
그림 2. 100명의 공격자가 각각 16000개의 패킷을 보낼 때, 각 마킹값에 대한 빈도수 = 7
그림 3. 100명의 공격자가 각각 16000개의 패킷을 보낼 때, 특정 범위의 빈도수를 가지는 마킹값의 수 = 8
그림 4. 100명의 공격자가 각각 16000개의 패킷을 보낼 때, 16비트를 2개의 섹션으로 나누어 각 섹션에서 마킹값들의 분포를 측정한 결과 = 11
그림 5. 정상 사용자 1000명이 각각 10개의 패킷을 보내고 공격자 10명이 각각 1000개의 패킷을 보낼 때, 16비트를 4개의 섹션으로 나누어 각 섹션에서 마킹값의 빈도수를 측정한 결과 = 12
그림 6. 경로 리스트 = 15
그림 7. 경로 생성 예 = 16
그림 8. 라우터 리스트 = 17
그림 9. 100명의 공격자가 패킷을 계속 보낼 때, 필터링 사이즈가 증가함에 따른 빈도수 검사 기법과 제안하는 기법의 필터링 비율을 비교한 결과 = 18
그림 10. 1000명의 공격자가 패킷을 계속 보낼 때, 필터링 사이즈가 증가함에 따른 빈도수 검사 기법과 제안하는 기법의 필터링 비율을 비교한 결과 = 19
