<38345FC0CCC7FCBCF62DC0FAB4EBBFAA F5320B0F8B0DD2E687770>

Transcription

1 Journal of the Korea Academia-Industrial cooperation Society Vol. 17, No. 10 pp , ISSN / eissn 이형수 1, 박재표 2* 1 숭실대학교대학원컴퓨터학과, 2 숭실대학교정보과학대학원 Respond System for Low-Level DDoS Attack Hyung-Su Lee 1, Jae-Pyo Park 2* 1 Department of Computer, Graduate School, SoongSil University 2 Graduate School of Information Science, SoongSil University 요약본논문에서는향후에도지속적으로발생가능성이높은저대역 DDoS 공격에대비하여 TLF(Time Limit Factor) 를적용한솔루션을기존의고대역 DDoS 방어시스템에추가함으로써고대역의 DDoS 공격과더불어저대역 DDoS 공격에대해서방어할수있도록하였다. 저대역 DDoS 공격은정상적인서비스연결을가장하여연결된세션을지속적으로점유함으로써정상적인사용자들의서비스요청에대한장애를유발시킨다는점에착안하여각세션별일정시간동안의통신량을체크하여비정상적인경우저대역 DDoS 공격으로간주하여해당세션을종료시키는방법이다. 그러나, 정상적인연결상태에서도네트워크의일시적인장애들로인해통신에장애를가져오는경우저대역 DDoS 공격으로오탐하여서비스를차단할수있다는점때문에저대역 DDoS 공격으로탐지되었다할지라도관련정보에대해 Blacklist 를통한 Drop이아닌일정시간동안만 Blocking 후다시재접속이가능하도록하였다. 고대역 DDoS 방어시스템을이용하여저대역 DDoS 공격에대한테스트를진행한결과고대역 DDoS 방어시스템은저대역 DDoS 공격으로단순연결된세션들에대해정상적인통신으로인지하여세션에대한차단이불가하였으며이로인해저대역 DDoS 공격을받은시스템은리소스고갈로서비스불가현상이발생하였다. 본논문에서제안한 TLF 알고리즘을고대역 DDoS 방어시스템에적용하게되면고대역및저대역 DDoS에대한방어가가능할뿐만아니라, 서비스를제공하는시스템에모듈형태로추가적용을할경우저대역 DDoS 공격에대한대처가가능하다. Abstract This study suggests methods of defense against low-level high-bandwidth DDoS attacks by adding a solution with a time limit factor (TLF) to an existing high-bandwidth DDoS defense system. Low-level DDoS attacks cause faults to the service requests of normal users by acting as a normal service connection and continuously positioning the connected session. Considering this, the proposed method makes it possible for users to show a down-related session by considering it as a low-level DDoS attack if the abnormal flow is detected after checking the amount of traffic. However, the service might be blocked when misjudging a low-level DDoS attack in the case of a communication fault resulting from a network fault, even with a normal connection status. Thus, we made it possible to reaccess the related information through a certain period of blocking instead of a drop through blacklist. In a test of the system, it was unable to block the session because it recognized sessions that are simply connected with a low-level DDoS attack as a normal communication. Keywords : DDoS, TLF Algorithm 1. 서론 부분의네트워크들은기가비트네트워크로진화되었으며, 일반가정에도 100Mbps급의초고속인터넷이보급국내초고속인터넷통신망인프라의성장에따라대되어있다. 또한, 스마트폰과같은이동통신기기들의사 * Corresponding Author : Jae-Pyo Park(Soongsil University) Tel: pjerry@ssu.ac.kr Received July 7, 2016 Revised August 18, 2016 Accepted October 7, 2016 Published October 31,

2 용확대에따라무선인터넷환경들이전국으로구축되어있어우리나라는언제어느곳에서나인터넷을자유롭게이용할수있는유비쿼터스환경이구축되어있다고할수있다. 이러한통신망인프라의발달은사람들에게언제어디서나필요한서비스를제공받을수있는환경을제공하고있지만이에반하는사이버위협도지속적으로증가하고있다. 사이버위협은대표적으로해킹, 바이러스및 DoS(Denial of Service) 와 DDoS (Distributed Denial of Service) 공격이있다. 해킹이나바이러스의공격은특정된시스템을대상으로하고있는반면, DoS 공격은시스템을포함한서비스및네트워크전체를공격대상으로하고있어서피해의정도는훨씬크다고할수있다. 특히, 2009년에발생한 7.7 DDoS공격은인터넷대란이라고할수있는인터넷전체에커다란위협이되었으며, 이러한공격은매년지속적인증가세를보이고있다. 또한, 자동화된공격도구들의인터넷오픈에따라전문적인지식을가지지않은사람이라도누구나인터넷에위협을줄수있게되었다. 이는향후더욱더많은사이버위협들이발생할수있다는의미이며, 이러한결과는선의의사용자들까지피해를입게되어정상적인서비스를받을수없게될수있다. 이렇듯진화및확장되는사이버위협에대한공격을막을수있는기술적인대응을위한연구및대응방안을마련하여보다안전한인터넷환경을제공하고선의의사용자들에대한정상적인서비스를보장할수있는방안이연구되어야한다. 2. 관련연구 2.1 DDos 공격및유형 DDoS 공격은 DoS 공격을짧은시간에여러곳에서발생시키도록하는공격으로대부분의공격이자동화된툴을이용한다. 또한 DDoS 공격은 DoS 공격을증폭시켜주는중간자가필요하며이를위해악성봇을이용한수많은좀비 PC를만들어사용한다 [13]. 대량의트래픽을발생시켜대역폭을소모시키기위한단순 Flooding 공격과서버나장비의부하를유발시키는 Connection 공격그리고특정서비스의방해를목적으로하는 Application 공격으로구분할수있다 [3]. 또한, DDoS 공격의유형은대량의패킷을발생시켜네트워크및시스템의리소스를모두마비시키는고대역 DDoS Table 1. Type of DDoS Attack Attack methods Effect of the attack Type of Attack Flooding Attack ICMP/UDP Flooding DNS Query Flooding BGP DRDoS To exceed the bandwidth capacity of N / W Traffic transmission to exceed the bandwidth Load-induced attack of server / device Syn Flooding Fragmented Packet Flooding Load-induced N / W device server, Load induction of security equipment 64byte following Packet processing induce beyond server Backlog queue Denial-of-serv ice attack specific CC Attack Get Flooding Slowloris Induction of server load Depletion of the CPU resources than the number of sessions 공격과정상적인통신패킷을이용하여시스템의취약점을공격리소스의고갈을통해정상적인서비스를방해하는저대역 DDoS 공격으로나누어볼수있다. 고대역 DDoS 공격은대표적으로 ICMP Flooding, SYN Flooding, UDP Flooding 공격들이있으며, 저대역 DDoS의경우 Slowrolis 를예로들수있다. 2.2 고대역 DDos 공격유형 ICMP Flooding 공격 ICMP(Internet Control Message Protocol) 는 IETF RFC792에정의된프로토콜로써호스트간혹은상태변화를알려주고요청에응답을하는기능을담당하는네트워크제어프로토콜로활성화된서비스나포트가필요하지않는유일한프로토콜이다 [1-2]. 이러한 ICMP의특징을악용한 ICMP Flooding은대량의 ICMP 패킷을공격자가직접 victim에게전송하는방법으로, 그변종의예로 Smurf, Welchia worm 등이있다. Smurf는공격자가 source IP 주소를 victim의 IP 주소로설정한후, broadcast 주소로 ICMP echo request 패킷을전송하면그하위모든시스템들이 ICMP echo reply 패킷을 victim으로전송하게되어대량의패킷들이집중하여네트워크부하를높이게된다. Welchia worm은감염시스템에대하여 IP 주소의 B 클래스를고정시키고 C 클래스부터증가시키며 ICMP 패킷을전송하여다른감염대상을찾고감염시스템의성능을저하시키는형태이다 [4]. 733

3 한국산학기술학회논문지제 17 권제 10 호, SYN Flooding 공격 SYN Flooding 공격은특정시스템에대한불법적인권한을얻는적극적인방법이아니라네트워크와시스템의자원을공격대상으로하는공격방법이다. 이것은 TCP가데이터를보내기전에연결을먼저맺어야하는연결지향성을이용한방법이다 [8]. 즉, SYN Flooding은 TCP의연결과정인 Three-way handshaking을이용하여공격자 (Attacker) 가대상시스템 (Victim) 에 source IP address를 spoofing하여 SYN 패킷을특정포트로전송하게되면이포트의대기큐 (Back-log-Queue) 를가득차게하여이포트에들어오는연결요청을큐가비울때까지무시하도록하는방법이다 [4-5]. 2.3 저대역 DDos 공격고대역 DDoS의경우공격자는정상적인통신에필요한세션의연결성을배제하고초당수만에서수십만개단위의대량패킷을생성하여 victim으로전송하여시스템의서비스를고갈시키지만, 저대역 DDoS 공격은초당약 2~3000개의소량의패킷으로특정시스템의특정어플리케이션과 TCP의 Three-way handshaking을이용한정상적인방법으로세션을연결하며 [Fig. 2] 와같이동작한다 UDP Flooding 공격 UDP(User Datagram Protocol) 를이용한패킷전달은비연결형 (connectionless) 서비스로서포트대포트로전송한다. 대표적인응용서비스로 TFTP, SNMP, 실시간인터넷방송등을들수있다 [7]. UDP Flooding은 UDP의비연결성및비신뢰성때문에공격이용이한방법이다. UDP는 source address와 source port를 spoofing하기쉽다는약점들을이용해과다한트래픽을 victim에전송함으로써 spoof되는 victim 간네트워크를마비시킨다. 이공격은주로 echo와 chargen 서비스에이용하며 [Fig. 1] 와같이동작한다. Fig. 2. Low-Level DDoS Attack 세션이연결된 Agent에서는일정시간마다 Keep Alive 패킷을전송하여서버와의연결을지속적으로유지하도록요청하고패킷을전달받은서버는세션을계속유지하면서 Agent들의추가적인서비스요청을기다리게된다. Agent들의추가적인연결요청이계속되면서버는연결가능한세션의수를초과하게되고결국추가적인서비스에대한응답을할수없게된다. Fig. 1. UDP Flooding Attack 공격자가 victim A에게 source IP 주소를 victim B의 IP 주소로 spoofing하여대량의 UDP 패킷을전송하면 victim A와 victim B는계속해서서로패킷을주고받게되어두시스템사이의네트워크에과부하가초래된다 [2][8] Slowris Slowloris는가장최근인 2009년 6월 17일발표된 DoS 공격툴로써아파치웹서버를겨냥하여만들어졌다. 이툴은많은 HTTP Connection 을연결하여웹서버가 MaxClient에도달하게함으로써 HTTP 서비스가중단되도록하는형태의공격이다. 마치 TCP SYN Flooding 공격과유사하게일단정상적인 GET 접속요청을한후 [Fig. 3] 의패킷과같이마지막에하나의 CRLF을하지않아서버에서대기를하게한후 timeout 에도달하게하거나또는무의미한헤더를지속적으로전송하게된다 [9][10]. 734

4 이터부분까지검사하여유해성여부를검사할수있도록구성되어있다 [9]. 또한, 들어오는모든패킷을분석하고처리하여야하는부담을줄이기위해특정 IP에서의공격빈도를파악하여공격자또는좀비 PC로인지된경우 Blacklist에등록하여전처리과정중에패킷을 Drop 하도록하여패킷처리에대한성능향상을꾀하고있다 [12]. Fig. 3. Contents of the attack packets using Slowloris 이공격은아직마지막의 CRLF 를입력하지않았기때문에서버는마지막 CRLF를받을때까지세션을유지하면서대기상태가되며결국 MaxClient에도달하여서비스가중단하게된다. 2.4 기존 DDoS 방어시스템의구성과문제점 기존 DDos 방어시스템의구성현존하는대부분의 DDoS 방어시스템은 Layer 3, Layer 4, Layer 7에대한고대역 DDoS 공격방어가가능하도록구성되어있으며 [Fig. 4] 과같이각 Layer별필터를통해고대역 DDoS 공격을방어하도록되어있다 기존 DDoS 공격대응방안문제점기존의 DDoS 방어시스템들이대부분 2.3절에서살펴보았던 DDoS 대응방안을기반으로하여개발되어진시스템으로다음과같은문제점들을가지고있다. - 고대역 DDoS 공격에초점이맞추어져있어저대역 DDoS 공격에대한대응방안부재 - Layer 7의어플리케이션취약점을이용하는 DDoS 공격에대해 HTTP의일부공격에대한탐지만지원하며, 다른서비스에대한대응방안미비 - 공격으로탐지된 IP 및서비스포트에대해패킷의 Drop 기능만지원고대역 DDoS 공격경우특성상공격 IP의대부분이무작위로 Spoofing된 IP를사용하게되는데, 이때방어시스템에의해탐지된 IP의 Backlist 등록과 Drop으로인해정상적인 IP를사용하고있는사용자의서비스요청도같이 Drop되는문제점이존재한다. 또한일시적인네트워크장애에의한패킷의비정상전달로인해 Layer 7단계에서 DDoS로판단하게되는경우에도동일한문제점으로인해정상적인서비스를받을수없게된다. 3. TLF 를이용한저대역 DDoS 공격대응 Fig. 4. Method of operation of the DDoS defense system 고대역 DDoS 공격의탐지를위해방어시스템에보안정책을설정하여정해진범위를넘어가는과도한 Traffic 이발행하는경우 DDoS로탐지하도록하고있다. 즉, 정해진시간동안일정량이상의통신이발생하게되면이를인지하도록하는 Traffic Rate Limit 정책을통해대규모로발생되는 Flooding 공격을탐지하는것이다 [11]. Layer 7의경우 HTTP Get Flooding 또는 CC(Cache Control) Attack 공격의경우모든패킷의데 3.1 저대역 DDoS 공격대응개선방향지금까지살펴본 DDoS 공격에대한대응방안및고대역 DDoS 방어시스템에서처리하지못하고있는저대역 DDoS 공격에대해다음과방법으로대응하도록한다. - 모든세션에대해 Time Limit Factor를추가 - 각세션별특정시간동안의통신상태를모니터링하여정해진용량이하로통신하는경우저대역 DDoS 공격으로탐지 735

5 한국산학기술학회논문지제 17 권제 10 호, 공격으로탐지된세션에대해서는 Drop 또는정해진시간동안 Blocking - Drop의경우동작방법 1 해당되는세션테이블의모든정보제거 2 해당 IP 및정보를 Blacklist에등록후차단 - Blocking의경우동작방법 1 해당되는세션테이블 Time counter Enable 2 Blocking 시간동안해당세션의패킷버림 3 Blocking 시간이지나면해당세션테이블의모든정보제거 4 세션성립과정부터다시시작 3.2 설계 시스템의구조 [Fig. 5] 은기존 DDoS 방어시스템에저대역 DDoS 공격에대한방어솔루션을구현한방어시스템의구조를나타내다. 기존 DDoS 방어시스템과의차이점은세션테이블에 TLF를처리하기위해여분의필드들을추가하였으며, 세션테이블을참조하여각필터를통과하기이전에패킷의전달과정을처리하는전처리부의일부함수를변경하였다. 그리고저대역 DDoS를실제적으로탐지하는 Layer 7의 Low Level Attack 처리부와패킷의 Drop이아닌 Blocking을위한모둘이추가되었다. 본논문에서는위의방어시스템구조에서기존고대역 DDoS를위한부분을제외하고저대역 DDoS공격을위해새로이추가된부분에대해서만기술하였다 주요관리구조변경설명 DDoS 방어시스템은공격탐지에필요한각 Layer 필터들을가지고있으며각필터들의동작방법을결정하기위한방법으로보안정책에임계치및동작방법등을설정하게된다. 또한 Layer 4이상에서의 Rate Limit 적용및컨텐츠의내용을분석하기위해서세션테이블을관리하고있으므로이들주요관리 Factor에대한구조를변경하여저대역 DDoS 공격에대응할수있도록한다. (1) 세션테이블에 TLF 추가각세션의상태들을관리하고 DDoS 탐지시해당세션을 Blocking 하기위해 [Fig. 6] 와같이기존의세션테이블에 Time Rate Limit, Blocking Time 및세션상태관리를위한필드를추가하였다. Fig. 5. Low-Level DDoS The structure of the defense system 736

6 Fig. 6. Session table with added TLF TRL(Time Rate Limit) 은세션이연결되면정해진시간 (Sec) 동안일정량 (Count) 이상의패킷통신이발생하지않을경우저대역 DDoS로간주하게된다. BT(Blocking Time) 는 TRL에의해저대역 DDoS로탐지되어 Blocking이진행되어야하는경우상태 (Stat) 가 Enable 되고정해진시간 (Sec) 동안해당세션의통신을 Blocking하게된다. 그리고세션의상태를관리하는 Check부분은현재의세션정보가정상적인통신상태인지 DDoS 상태를체크하고있는지판단하여정상적인통신상태일경우각 DDoS 필터를 Bypass하여바로내부의시스템으로패킷을전달할수있도록한다. 세션테이블의필드추가에따라방어시스템구현에필요한테이블의변경된주요구조체는 [Fig. 7] 와같다. Fig. 8. Setting screen of security policy for the input of information TLF - 세션에대한모니터링시간 - 모니터링시간동안의최소한의통신량 - DDoS 공격판단시적용방법 (Drop, Blocking) - Blocking의경우 Blocking할시간 3.3 알고리즘동작설명 세션테이블생성 패킷이처음도착하는경우방어시스템에서는패킷을처리하기위한세션정보가존재하지않으므로 [Fig. 9] 와같은과정을거쳐새로운세션테이블을생성하게된다. Fig. 9. The process of creating the session table Fig. 7. View of the main structure of the session table (2) 보안정책 UI 수정 TLF를적용하여저대역 DDoS 공격을타지하기위한방어시스템의보안정책설정화면에 Low Level Attack UI를 [Fig. 8] 와같이추가하였다. 추가된 UI부분은본논문에서제안하고있는 TLF를사용하기위해필요로하는 TRL, BT과관련된임계치를얻기위한부분으로추가된부분의주요내용은다음과같다. 전처리부에서세션테이블존재여부를체크하여세션테이블이존재하지않는경우 Null 값을리턴하게되며전처리부에서는필요한정보들을기반으로새로운세션테이블을생성한다. 이때, 세션테이블의 TLF 필드들에보안정책화면에서설정한각각의정보를함께전달하여설정하게된다. 세션테이블이정상적으로생성되면 TRL 필드의정해진시간을역카운트하는타이머를생성하여종료가될때까지세션의통신량을체크하기시작한다. 737

7 한국산학기술학회논문지제 17 권제 10 호, 세션모니터링과정세션테이블이정상적으로생성된이후에는 [Fig. 10] 과같은과정을통하여세션의통신량을모니터링하게된다. Fig. 11. Operation procedure of monitoring at the end Fig. 10. Session traffic is monitored 전처리부에서는패킷에대한세션테이블정보를획득하고해당세션에대한상태를파악한다. 세션의상태가정상적인통신으로인지되었다면바로내부시스템으로패킷을전달하고, 세션의상태가비정상적인경우세션의 Blocking 설정상태를체크한다. 세션에대한모니터링이계속진행되고있는경우 Blocking 설정이 Disable 되어있으며패킷은 Layer 7에있는 Low Level Attack 필터를거치게된다. Low Level Attack부에서는모니터링시간이종료되었는지를체크하고패킷의카운트를증가시킨다. session_table.bt.sec =0) 세션의정보를 Blacklist에등록하고세션테이블에서해당세션의모든정보를삭제한다. Blacklist로등록된세션은일반 DDOS 방어시스템의처리와동일하게전처리부에서패킷을 Drop하여더이상의통신을할수없게된다. 보안정책에서 DDoS 탐지시의실행이 Blocking으로되어있는경우 Blocking 필드를 Enable시키고 Blocking 할시간을역카운트하는타이머를실행하며, 내부서비스에 RESET 패킷을전달하여연결되어있는세션을종료하도록한다 Blocking 동작과정 [Fig. 12] 은 DDoS 공격으로탐지된세션에대해서 Blocking이이루어지는과정을나타낸다 세션모니터링이완료된경우세션모니터링시간이종료되면 Low Level Attack 부는 [Fig. 11] 과같은과정을통하여세션에대한상태를변경하게된다. 모니터링시간이종료되면세션의통신량이보안정책에서설정된최소통신량과를비교하여세션의통신량이크다면해당세션은정상적인세션으로판단하여세션의상태구분필드를 Enable시키고해당세션은모니터링과정에서전처리부에의해바로내부시스템으로연결된다. 그러나, 최소통신량보다적거나같은경우 Low Level Attack부는저대역 DDoS로탐지하여보안정책의실행부에체크된동작을하게된다. 보안정책에서 Drop 으로체크되어있는경우 (session_table.bt.stat 0 & Fig. 12. Blocking Operation process 모니터링완료결과 DDoS 공격으로탐지된세션과관련된패킷은정해진 Blocking 시간동안전처리부에서패킷을 Drop하게된다. Blocking 시간이종료된경우전처리부는세션테이블의해당정보를모두삭제한다. 세션테이블의내용이삭제된이후에수신되는패킷에대해서는처음세션생성과정부터다시시작하여서비스를받을수있다. 738

8 4. 구현및성능평가 4.1 DDoS 대응시스템구현환경각시험에사용된시스템의환경은서버PC는 OS Ubuntu Linux, ProFTP 1.3.2e, DDoS 방어시스템 OS는전용 OS, 고대역 DDoS 방어시스템 TLF 모듈탑재, Client PC는 MS Windows 7, 사용 Tool : Dos Command FTP, Wireshark 1.4.2, AttackPacket 을사용하여테스트하였다. 4.2 시험방법기존 DDoS 방어시스템에서의고대역 DDoS 공격에대한테스트를진행하여정상적으로동작되는가를확인한다음저대역 DDoS에대한방어가능여부를테스트하였다. 이후 TLF가적용된모듈을추가로설치적용후저대역 DDoS 공격에대한동일한테스트진행하였다. 고대역 DDoS 는공격툴인 AttackPacket을이용하였으며저대역 DDoS는 DOS Command 상에서 FTP 서비스를이용하여다음과같은방법느오테스트를진행하였다. 트를동일하게진행 4.3 시험결과 저대역 DDoS 테스트결과저대역 DDoS 공격이 TCP Three-way handshaking을거쳐세션을정상적으로연결한상태에서단순세션연결유지만요청하며 MaxClient 상태에도달한서버에서더이상의서비스를제공할수없게되는상황을만들기위해서버에서접속가능한 MaxClient의수를제한하여테스트를진행하였다. 서버에 ProFTP 서비스를설치하고 MaxClient는 5개로제한하였으며입력기다림에대한 Timeout은 5분 (300초) 으로제한하였다. Client는 7 개의 FTP 접속을시도한결과 [Fig. 13] 와같이 5개이상의접속시도요청은서버로부터접속거부로이어져정상적인서비스를받을수없었다. - 고대역 DDoS 테스트 1 DDoS 방어시스템에탐지및차단정책설정 2 공격툴을이용하여 ICMP, UDP, SYN Flooding 공격시도 3 공격에대한결과확인 - 저대역 DDoS 테스트 1 DDoS 방어시스템에탐지및차단정책설정 2 FTP 서버의 MaxClient를 5개로제한한다. 3 3개의저대역 DDoS 공격 Client, 4개의정상통신 Client 준비 4 저대역 DDoS 공격 Client를연결후정상통신 Client를순차적으로연결 5 일정시간경과후추가적인 Client의 FTP 접속시도 6 FTP Client 정상동작확인 7 Client들의연결되어있는모든세션종료 8 TLF를지원하는모듈설치및적용 9 저대역 DDoS 공격을차단하기위한 TLF 값적용 10 저대역 DDoS 테스트의 3~6 번에해당되는테스 Fig. 13. Low-Level DDoS Attack Result 3개의저대역 DDoS 공격용 Client의경우단순한세션연결만지속하도록하였고이후의 Client들은모두정상적인통신을하기위한 Client들로세션이연결된이후에디렉토리이동및파일다운로드등에관련된명령어들을실행하였다. 일정시간경과후연결되어있는 Client들과접속이거부되었던 Client들에서다시접속시도및세션연결유지테스트진행결과모두정상적으로세션이연결되어있었다 TLF 적용후테스트결과 TLF는저대역 DDoS 방어를위해세션의모니터링을위해필요한모니터링시간과최소한의통신량에대한적절한설정값을필요로한다. FTP 서비스이용과관련된최소한의통신량을추출하기위해 1개의 Client에대 739

9 한국산학기술학회논문지제 17 권제 10 호, 2016 해 FTP control 포트인서비스 21번포트에대해서서버와접속하는각단계별패킷의통신량을 [Table. 2] 과같이테스트하였다. Table 2. The minimum traffic to use the FTP service Number of communication packets Client Total number of packets Communication request 3 EA 3 EA USER Input 2 EA 5 EA PASSWD Input 2 EA 7 EA DIR Input 2 EA 9 EA CD Command Input 1 EA 10 EA 파일전송을위해서는세션생성에필요한 TCP 3-way handshaking을시작으로사용자의아이디및패스워드입력과필요한파일의위치나이름을확인하는단계까지만최소한 10개의패킷이 Client에서서버로전달되어지므로파일을전송하기위해서는이보다많은패킷이전달되어야 FTP의정상적인통신이이루어지고있다고판단할수있다. 따라서 FTP 서비스에서의모니터링시필요한최소통신량의 Factor는 10으로설정하였다. 또한적절한모니터링시간의추출을위해일반적인 FTP 사용자의경우파일전송요청까지소요되는시간을알아보기위해 5명의다른사용자들로테스트를진행하여 [Table. 3] 과같은결과를얻었다. Table 3. Time to file transfer requests Connection(s ec) File Request Start(sec) Total 1 Time 4 sec 13 sec 17 sec 2 Time 7 sec 20 sec 27 sec 3 Time 6 sec 17 sec 23 sec 4 Time 10 sec 25 sec 35 sec 5 Time 7 sec 19 sec 26 sec Average 7 sec 19 sec 26 sec 테스트결과, 접속을요청한시간부터파일전송을요청하는시점까지평균약 26초정도가소요되고있었다. 이는파일전송이필요해 FTP 서버로접속하는대부분의 경우최소한 30초이내에는파일전송에관련된모든패킷이지나간다고할수있다. 이결과를바탕으로모니터링에필요한시간 Factor로 30초를추출할수있었다. 이러한테스트결과는 FTP 서비스를이용하여서버에접속한이후바로파일전송을요청하는경우에한하며, HTTP와같이세션을연결함과동시에결과를요구하는서비스들의경우별도의테스트를통하여적절한 Factor 들을추출하여야한다. 테스트결과에따라 TLF 에필요한 Factor값으로 30초의모니터링시간과 10개의최소통신량을 TRL의 Factor값으로설정하였으며 BT와관련된 Factor로써저대역 DDoS 공격으로탐지된경우 Drop이아닌 Blocking을진행하되 60초간의 Blocking Time을적용하였다. TLF 와관련된 Factor들을모두적용한모듈을기존 DDoS 방어시스템에모듈형태로설치하고 에서진행하였던저대역 DDoS 공격과동일한테스트를진행하여 [Table. 4] 와같은결과를얻을수있었다. Table 4. Result of the connection of test session of the waiting time for each of TLF after application Waiting Time(sec) Trying to connect Normal Connection Access denied 테스트결과 TLF 모듈을적용한이후에도 DDoS 방어시스템에서는모니터링이진행되는 30초동안은 TLF 를적용하기전의고대역 DDoS 방어시스템과동일하게 5개이상의 Client들에대해서는서비스거부현상이발생하였다. 그러나모니터링시간의지난이후부터세션에대한연결빛통신상태를체크한결과단순연결만되어있던저대역 DDoS 공격에사용되었던 3개의 Client들에대한연결은이루어지지않고있었으며서비스거부가발생되었던 2개의 Client에서 FTP 서비스를 740

10 위한세션연결및통신이정상적으로이루어짐을확인하였다. FTP 서비스에대한 TLF 모듈에적용한모니터링을위해필요한시간과최소통신량에대한 Factor로 30초와 10개의설정값이적절하게동작되고있음이확인되었으며 TLF 모듈을추가로적용할경우기존의고대역 DDoS 방어시스템으로도저대역 DDoS 공격을방어할수있음을확인하였다. 다. [Fig. 14] 은 TLF 적용전후에따른서비스를제공하는시스템에접속되어있는 Client들의현황을나타내고있다 테스트결과비교 [Table. 5] 은고대역 DDoS 방어시스템을설치한상태에서 TLF 모듈을적용하기전과적용한이후의저대역 DDoS 공격에대한시간대별대응결과를나타내고있다. Table 5. Results of time-of-day connection test of TLF before applying / after Waiting Time(sec) Attempts to connect Before TLF Application Normal Connection Access denied After TLF Application Normal Connection Access denied TLF 모듈적용전에고대역 DDoS 방어시스템으로는저대역 DDoS 공격에대해어떠한방어동작도이루어지지않았다. 이로인해서비스를제공하는시스템의리소스고갈로서비스불가상태로되었으며서비스에서설정된입력대기시간에대한 Timeout이설정된경우 Timeout 이후에저대역 DDoS 공격과관련된세션이종료되고새로운서비스요청을받을수있었다. 반면적절한 Factor값을설정한 TLF 모듈을적용하고나뒤에는모니터링시간이종료된후에그동안의통신량에따라정상적인통신으로인지되지않은세션들을 Blocking 시켜시스템의리소스를추가확보함으로써다른정상적인서비스를요청하는 Client들의통신을받아들일수있었 Fig. 14. Client online in another time zone of TLF application before / after 지금까지의결과에서볼수있듯이기존의고대역 DDoS 방어시스템에서방어할수없었던저대역 DDoS 공격에대하여 TLF 모듈을적용한이후에단순접속되어있는 Client들의통신상태를모니터링하여비정상적인통신상태에있는세션을차단함으로써서비스를제공하는시스템에서는추가적인리소스를확보하여정상적인사용자들에게서비스를제공해줄수있음을확인하였다. 5. 결론 본논문에서는저대역 DDoS 공격에대한대응방안으로 Time Limit Factor로서 Time Rate Limit와 Blocking Time 및세션의상태를체크하는필드들을추가하여저대역 DDoS 공격을방어할수있는알고리즘을구현하였다. 또한네트워크의일시적인장애로인한저대역 DDoS 공격으로오탐되었을경우를대비하여공격으로탐지된정보에대해단순 Drop이아닌일정시간동안의 Blocking 기능을제공하여일정시간이지난뒤다시재접속이가능하도록하였다. 고대역 DDoS 방어시스템은저대역 DDoS 공격으로단순연결된세션들에대해정상적인통신으로인지하여세션에대한차단이불가하여저대역 DDoS 공격을받은시스템은리소스고갈로서비스불가현상이발생하였다. 반면 TLF를적용한저대역 DDoS 방어시스템으로 741

11 한국산학기술학회논문지제 17 권제 10 호, 2016 동일한테스트를진행한결과정상적인서비스를요청하는세션의연결은계속유지되었지만저대역 DDoS 공격에의한단순연결만하고있는세션을종료시켜시스템의리소스고갈을방지함으로써정상적인서비스를제공할수있었다. 본논문에서제안한 TLF 알고리즘을고대역 DDoS 방어시스템에적용하게되면고대역및저대역 DDoS에대한방어가가능할뿐만아니라, 서비스를제공하는시스템에모듈형태로추가적용을할경우저대역 DDoS 공격에대한대처가가능하다. 그러나, Time Limit Factor를적용한저대역 DDoS 알고리즘은네트워크환경및서비스의제공방법에따라많은변수들을가지고있기때문에일률적으로정해질수가없다는단점이있다. 때문에각서비스별운영환경에맞는 Factor들을추출하여적용하기위해서는각실환경에서의테스트및일정시간의모니터링을통하여결정되어져야하며저대역 DDoS 방어를위한 TLF 알고리즘의원활한동작을위해서는고대역 DDoS 방어시스템보다높은성능처리와리소스를필요로한다. 시스템에모듈형태로적용하지않고전용 DDoS 방어시스템에적용하기위해서는 TLF를처리하기위한리소스와서비스별관리방법등에대한별도의추가적인연구가이루어져야한다. References [1] Jong Yeop Lee, Mi sun Yoon, Hoon Lee, Monitoring and Investigation of DoS Attack, KNOM Review 2004 [2] Alefiya Hussain, "Experience with a Continuous Network Tracing Infrastructure", ACM SIGCOMM'05 Workshops, DOI: [3] David Dagon, CliZou, and Wenke Lee. "Modeling botnet propagation using time zones". In Proceedings of the 13th Annual Network and Distributed System Security Symposium, 2006 [4] David Dagon, Guofei Gu, Chris Lee, and Wenke Lee. A taxonomy of botnet structures. In Proceedings of the 23 Annual Computer Security Applications Conference (ACSAC'07), December DOI: [5] E. Messmer. "Nugache worm kicking up a Storm", January [6] Ki Hoon Kwon, Young Goo Han, Seok Bong Jeong, Se Hun Kim, Soo Hyung Lee, Joong Chan Na, Fast Detection Scheme for Broadband Network Using Traffic Analysis, KIISC, Vol14, No4, 2004 [7] Soon Hwa Hong, "Monitoring and analysis of network traffic using Load Balancing Method", Master's thesis, [8] Les Cottrell and Connie Logg, "Throughput Time Series Patterns (Diurnal and Step Functions)", July [9] Beak Do Woon, "Implementation for L7 DDoS Defense", August [10] Lee Heon Jin, "A Study on The Complex Types DDoS Attacks and Protection", February [11] Byeong-uk Lee, Cheol-woong Lee, Seung-hun Shin, Byeong-hee Roh, Implementaion of Modeling and Simulation for DDoS Attack and Detection in Wired Tractical Netwotk Usong OPNET Cyber Effect Model, KCI, Vol12, No2, 2016 [12] Dongwon Seo, "Probabilistic Filter Propagation and Scheduling against Distributed Denial-of-Service Attacks", February [13] Sungmo Jung, "Global Network Security System to Prevent Cyber Attack", February 이형수 (Hyung-Su Lee) [ 정회원 ] 1991 년 2 월 : 성균관대학교전자공학과 ( 전자공학사 ) 2011 년 2 월 : 숭실대학교정보과학대학원정보보안학과 ( 공학석사 ) 2013 년 3 월 : 숭실대학교대학원컴퓨터학과 ( 박사수료 ) 2015 년 4 월 ~ 현재 : 소원네트웍스연구소장 2016 년 3 월 ~ 현재 : 인하공업전문대학교겸임교수 < 관심분야 > 네트워크보안, 사이버보안, 정보보안 박재표 (Jae-Pyo Park) [ 종신회원 ] < 관심분야 > 네트워크보안, 디지털포렌식, 정보보안 1998 년 8 월 : 숭실대학교대학원컴퓨터학과 ( 공학석사 ) 2004 년 8 월 : 숭실대학교대학원컴퓨터학과 ( 공학박사 ) 2010 년 3 월 ~ 현재 : 숭실대학교정보과학대학원교수 742