vulnerabilities. In addition, we propose an IPS system based on the SYN Flood defense policy to defend against malicious external attacks Keywords : D

Size: px

Start display at page:

Download "vulnerabilities. In addition, we propose an IPS system based on the SYN Flood defense policy to defend against malicious external attacks Keywords : D"

은지 삼
6 years ago
Views:

1 Asia-pacific Journal of Multimedia Services Convergent with Art, Humanities, and Sociology Vol.6, No.2, February (2016), pp 취약점및 아키텍쳐연구 한미란 김근희 강영모 김종배 요약 특정사이트를집중공격해정상적인서비스를불가능하도록하는 공격의수단과방법이갈수록진화하고있다 일단감염이되면이용자는정상적으로접속할수없고주컴퓨터는치명적손상을입을수있으며해킹의숙주로이용될수도있다 그중대표적인서비스거부공격방법으로 의 원리를이용한 공격기법에관해연구하였다 이란 공격의일종으로네트워크에연속적인 패킷을보내서서버의수요용량 큐 를넘치게하는네트워크공격방법이다 분산서비스거부 의경우서비스거부 공격과달리공격의원인과공격자를추적하기어려울뿐아니라공격시감지가되어도뚜렷한해결방안이없다 본논문에서는 공격의원인을분석하고보안취약점을해결하기위한 방어정책을연구하였다 또한외부의악의적인공격에효과적으로방어하기위해서 방어정책설계를기반으로 시스템을제시하고자한다 핵심어 Abstract DDos attack evolves by degrees, in terms of means and methods, to disable the regular system by giving concentrate attack to a certain site. Once infected users cannot normally connect to the server. Main computer can cause fatal damage and may be used as a host of hacking. We studied in the SYN Flood attack methods as the representative service denial attack method by using a 3-Way handshake principle of the TCP / IP. It attacks network by sending sequential SYN packets to make capabilities (que) overflow. For a distributed denial of service (DDoS) unlike denial of service (DoS) attacks as well as other difficult to trace the cause of the attack and attack an attacker detected no clear solution. Therefore, this study aims to understand SYN Flood attacks causes and solutions, and establish defense policies to solve security Received(December 14, 2015), Review Result(December 29, 2015) Accepted(January 6, 2016), Published(February 29, 2016) ISSN: AJMAHS Copyright 2016 HSST 1

2 vulnerabilities. In addition, we propose an IPS system based on the SYN Flood defense policy to defend against malicious external attacks Keywords : Dos, DDoS, SYN Flooding, IPS, TCP/IP 서론 공격은대표적인분산서비스거부공격 의하나로지역적으로분산된다수의공격자들이타켓시스템을집중적으로공격하는해킹방식의하나이다 공격대상이보통웹서비스를목표로하지만단체및기업 은행 정부등다향한곳에서대역폭과부하를발생시켜네트워크의성능을저하시키거나서비스를중단시키는방식이다 이는클라이언트들이접속을할수없는상태를만들거나운영자들이모르는사이에해킹의숙주로이용될수도있다 그림 공격의원리 위의그림은 공격의원리를나타낸것이다 이러한 공격의형태는대용량의패킷을사용함으로써 같은서버의리소스를오버로딩시키는것이목적이다 이러한 패킷들은항상 같은통신프로토콜에이용된다 그중 이가장대표적인 공격의하나이다 공격의개념이오래전부터알려지면서간단하게실행할수있는공격툴이나소스가만들어졌고현재까지이공격이빈번하게발생되고있다 따라서본논문에서는 의원리에대해분석하고 대처방안을도출하고 원리를기반으로설계하여서비스거부공격을예방하고자한다 본논문의구성은다음과같다 장에서는관련연구를기반으로현행 공격구조에대해분석하고 예방방법에대해알아보았다 장에서는 탐지기법과 시스템아키텍처분석에대해연구하고 본논문에서제안하는방어기법을설계하였다 마지막으로 장에서결론및향 2 Copyright 2016 HSST

3 후연구방향에대해기술하였다 Asia-pacific Journal of Multimedia Services Convergent with Art, Humanities, and Sociology Vol.6, No.2, February (2016) 관련연구 기본적인 은네트워크프로토콜의설계를이용하는공격이다 이러한 의공격에종류는 공격 공격 공격 공격 공격 서버공격등이있으며이러한프로토콜의연결은쉽게공격할수있는환경을만들어준다 그중대표적인 공격은 로연결을하기때문에해커가제일많이선호하는공격하는방식이다 다음은 공격에대해좀더자세한원리를알아보도록한다 의원리 공격방법은 의 원리를기법으로한다 기본원리는 요청 응답 응답에대한 로작동한다 이러한 을이용하여공격자가타켓시스템으로 패킷을보내서큐용량을넘치게하는네트워크공격방법이다 좀비 의각각의패킷이타켓시스템에 응답을발생시키는데 시스템이 에따르는 를기다리는동안 큐로알려진큐에모든 응답을넣게된다 이와같은원리는 요청에대한응답으로 를주는방법을악용하여 요청을 시스템의자원 의한계값인 이상에 요청을하게되면 요청에대한응답으로 가 가발생하게되어 시스템의한계자원을초과하여더이상접속이불가능하게된다 이런현상으로인하여시스템은더이상서비스를제공할수없게된다 이로인해시스템은서비스거부공격에대상이된다 서비스거부대상은접속자원초과및접속 임계치를초과하게되어더이상새로운접속을받아들일수없게된다 서버가 에응답하지않는데도무차별적으로 패킷을발생시켜서 을마비시킬수도있다 그림 은 와 간에 을정상처리하는원리이다 단계는클라이언트는서버에게접속을요청하는 패킷을보내고 단계서버는요청을받고클라이언트에게요청을수락한다는 패킷을발송한다 마지막 단계클라이언트는서버에게 를보내고이후로연결이되면본격적으로데이터가교환된다 ISSN: AJMAHS Copyright 2016 HSST 3

4 그림 원리와 개념도 공격방법은위의원리를이용한것으로 에서다수의연결요청후종료를통해 시스템에서 에 를송신하지못하여 시스템에 발생으로시스템이더이상새로운요청을처리하지못하게되는원리이다 구조분석 그림 구조 위의 그림 에 구조를분석한결과 에구성은송신포트 수신포트 시퀀스번호 번호 로구성되어있다 주요정보로서 으로구분된다 이중 의중요 는 과 으로 에대한응답 인 메시지가 에남게되어 가가득차게된다 4 Copyright 2016 HSST

5 해결방안 Asia-pacific Journal of Multimedia Services Convergent with Art, Humanities, and Sociology Vol.6, No.2, February (2016) 공격으로서비스거부가시작하게되는 가가득차서다른접속요구를받아들이지못하기때문에 의 를늘려주면된다 증가를위한방법은다음과같다 첫번째 커널시스템정보중에 사이즈를확인하다 두번째 확인된 사이즈를확인후 개에대한사이즈 최대허용세션수만큼에 사이즈를지정하게되면된다 그림 의 값코드 하지만 사이즈를증가로 공격을예방하는데는한계가있을뿐만아니라임시적인대책일뿐근본적인해결방안이아니다 와같은대량의서비스거부공격으로인한 은 메모리가증가하여시스템에취약점이노출되는것은시간문제일뿐이다 방어기법및제안아키텍처구성 정보분석 본논문에서는 에 정보를기반으로 공격을탐지하고 방어 기법은 관리를통해방어정책을수립하여방어하도록제안한다 표 정보 정보 설명 ISSN: AJMAHS Copyright 2016 HSST 5

6 위의 표 에 는 로표현되며 가지유형으로분류된다 첫번째 는 전송에경우데이터에마지막 위치값에대한 이다 두번째 는 요청에대한 응답구분 이다 세번째 는 기능플레그값으로데이터전송대기시간없이전송하는구분 이다 네번째 는네트워크연결에대한회복할수없는에러인경우 정보를가진 값이다 다섯번째 는 번호를의미하는 이다 마지막으로 는발신정송자로부터더이상데이터가없다는정보 이다 위와같은 정보기반으로세션별 건수를모니터링하게되면 공격에유무를판단할수있게된다 비정상세션에대한 인 발생건수가모니터링대상이된다 아키텍처구성 그림 제안아키텍처 의예방차원으로가장효율적인방법은 를설치하는것이다 은네트워크상에서발생하는침입에대해탐지보고및예방하는보안시스템이다 따라서외부의악의적인공격에대한탐지방법과방어기법이중요한기술요소이다 은네트워크상에서발생하는침입에대해탐지보고및예방하는보안시스템이다 따라서외부의악의적인공격에대한탐지방법과방어기법이중요한기술이다 위 그림 는 아키텍처로서외부네트워크와내부네트워크를기준으로구분된다 외부네트워크를통해들어오는패킷을내부네트워크에존재하는 시스템이이상접속및서비스거부공격들을예방하는역할을하게된다 제안하는아래 그림 에 방어정책을 시스템내부방어정책에적용하게되면외부의악의적인공격에대해효과적으로방어할수있게된다 6 Copyright 2016 HSST

7 Asia-pacific Journal of Multimedia Services Convergent with Art, Humanities, and Sociology Vol.6, No.2, February (2016) 그림 방어정책 위의방어정책은외부로부터들어오는정보를기반으로크게 와 로구분한다 접근정보를관리하기위해자료구조는환형링크리스트를이용하였다 이를통해정보탐색속도시간을향상시킬수있다 는접속건수를기록후즉시통과시키게된다 하지만기준시간대비최대처리기준건수를초과할경우악의적인공격으로판단하여 대상으로관리된다 관리대상정보는사용자가수립한보안정책을기반으로일시적인차단또는영구적인차단을수행한다 위의보안정책의가장특징은발송지공격에대해신속하게탐지하는것이가능하다는것이다 이는요청발송정보를기반으로판단하며 보안정책수립에따라유연하게세션제어하는것이가장큰특징이라할수있다 결론및향후연구과제 시스템에적용할수있는 방어정책설계를기반으로 아키텍처에적용한결과외부의악의적인 및 공격에대해효과적으로방어가가능할것이다 시스템의가장중요한기술요소는외부의침입탐지에대한정확한식별과이를기반으로방어하는기술이가장중요한기술요소기술이다 향후연구에과제는외부의악의적인공격에대해다양한실험을통해 공격을효과적으로방어하는기법에대해연구하려한다 ISSN: AJMAHS Copyright 2016 HSST 7

8 References [1] Petr Dzurenda, Zdenek Martinasek, Lukas MalinaNetwork Protection Against DDoS Attacks,International Journal of Advances in Telecommunications, Electrotechnics, Signals and Systems, Vol. 4, No. 1 (2015) [2] Yeon-ho Lee, Beom-Jae Kim, Nam-Yong Lee, Jong-Bae Kim, The framework to develop main criteria for a DDoS correspondence, Journal of Digital Contents Society Vol. 11 No. 1,pp (2010) [3] D.DeepthiRani,T.V.SaiKrishna,G.Dayanandam, Dr.T.V.Rao, "TCP Syn Flood Attack detection Prevention", IJCTT Vol.4 Issue 10 (2013) [4] Mitko Bogdanoski,"Analysis of the SYN Flood Dos Attack", I.J. Computer Network Information Security DOI: /ijcnis. August (2013) [5] Xiang,Yisha;Rossetti, Manuel D,"The effect of backlog queue and load-building processing in a multi-echelon inventory network ",Simulation Modelling Practice and Theory, Vol43, pp , ISSN: X (2014) [6] Keun-Heui Kim, Young-Mo Kang,Mi-Ran Han, Jong-Bae Kim, A Study on the Dos Prevention System for SPT-based Sync Flooding Protection",IJSIA Vol.9, No.12, pp (2015) [7] Choehongjin, Distributed Denial of Service attacks and countermeasures Status,Korea Information Assurance Society, pp. 6-17, (2008) [8] Lee, Joonbok, A Comparative Legal Study for the prevention of 7.7 DDoS(Distributed Denial of Service) case, Korean Studies Information Service System (KISS), ISSN:229~254, pp.26 (2010) [9] Gupta, Pawan Kumar," TCP with header checksum option for wireless links: An analytical approach towards performance evaluation", Sadhana (Bangalore),pp , ISSN: (2007) [10] J. Mirkovic and P. Reiher, A taxonomy of ddos attack and ddos defense mechanisms, ACM SIGCOMM Computer Communication Review, vol. 34, no. 2, pp (2004) [11] Bellaiche, Martine, Gregoire, Jean-Charles "Avoiding DDoS with active management of backlog queues", 5th International Conference on Network and System Security, pp (2011) 8 Copyright 2016 HSST

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5