- PDF Free Download

Size: px

Start display at page:

Download ""

현주 봉
5 years ago
Views:

1 출원일자 관인생략출원번호통지서 특기사항심사청구 ( 무 ) 공개신청 ( 무 ) 출원번호 ( 접수번호 ) 출원인명칭 주식회사케이티 ( ) 외 1 명 대리인성명특허법인명문 ( ) 발명자성명 발명의명칭 정현호리샤드알리예프김봉기서동원이시형이희조황영헌 트래픽격리를위한디엔에스백엔드프로세싱및그장치 특허청장 << 안내 >> 1. 귀하의출원은위와같이정상적으로접수되었으며, 이후의심사진행상황은출원번호를통해확인하실수있습니다. 2. 출원에따른수수료는접수일로부터다음날까지동봉된납입영수증에성명, 납부자번호등을기재하여가까운우체국또는은행에납부하여야합니다. 납부자번호 : 0131( 기관코드 ) + 접수번호 3. 귀하의주소, 연락처등의변경사항이있을경우, 즉시 [ 출원인코드정보변경 ( 경정 ), 정정신고서 ] 를제출하여야출원이후의각종통지서를정상적으로받을수있습니다. 특허로 (patent.go.kr) 접속 > 민원서식다운로드 > 특허법시행규칙별지제 5 호서식 4. 특허 ( 실용신안등록 ) 출원은명세서또는도면의보정이필요한경우, 등록결정이전또는의견서제출기간이내에출원서에최초로첨부된명세서또는도면에기재된사항의범위안에서보정할수있습니다. 5. 외국으로출원하고자하는경우 PCT 제도 ( 특허 실용신안 ) 나마드리드제도 ( 상표 ) 를이용할수있습니다. 국내출원일을외국에서인정받고자하는경우에는국내출원일로부터일정한기간내에외국에출원하여야우선권을인정받을수있습니다. 제도안내 : 마드리드 우선권인정기간 : 특허 실용신안은 12 개월, 상표 디자인은 6 개월이내 미국특허상표청의선출원을기초로우리나라에우선권주장출원시, 선출원이미공개상태이면, 우선일로부터 16 개월이내에미국특허상표청에 [ 전자적교환허가서 (PTO/SB/39) 를제출하거나우리나라에우선권증명서류를제출하여야합니다. 6. 본출원사실을외부에표시하고자하는경우에는아래와같이하여야하며, 이를위반할경우관련법령에따라처벌을받을수있습니다. 특허출원 , 상표등록출원 기타심사절차에관한사항은동봉된안내서를참조하시기바랍니다.

2 명세서 발명의명칭 트래픽격리를위한디엔에스백엔드프로세싱및그장치 {DNS Backend Processing For Network Traffic Isolation And Apparatus Therefor} 기술분야 <0001> 본발명은분산서비스거부공격등의네트워크트래픽및이로인한서버 부하를관리하기위한방법에관한것으로서, 보다상세하게는클라이언트트래픽 격리에의해트래픽을클라우드기반서버로분산하는방법및장치에관한것이 다. 발명의배경이되는기술 <0002> 분산서비스거부공격은여러대의공격자를분산배치하여동시에동작하 게함으로써특정사이트를공격하는해킹방식의하나이다. 이방식은서비스공 격을위한도구들을여러대의컴퓨터에심어놓고공격목표인사이트의컴퓨터시 스템이처리할수없을정도로엄청난분량의패킷을동시에범람시킴으로써네트 워크의성능을저하시키거나시스템을마비시키게된다. <0003> 기존 DDoS 공격에대한방어기법은 DDoS 공격의일정한규칙을이용하여트 래픽을차단하여폐기하는데주력하였다. 그러나최근의 DDoS 공격방법은정상 트래픽패턴과유사하므로이와같은규칙을적용하더라도많은양의악성트래픽 이여전히공격대상서버에도달하게된다. 또한이러한규칙기반의대응방법을 이용하는경우플래시크라우드 (Flash crowds) 와같은정상적인트래픽집중현상 28-1

3 이발생할때도악성트래픽으로오인하는경우가발생한다. <0004> 한편, 한국등록특허제 호는오리진서버를포함하는복수의서버로구 성하고, 오리진서버의트래픽상태가분산서비스거부공격상태로판단되는경 우, 오리진서버의 IP 주소를복수의서버로 IP 주소로변경하여오리진서버의부 하를경감하는방식의대응방법을제시하고있다. <0005> 그러나, 이와같은로드밸런싱기반의트래픽우회메커니즘은트래픽혼잡 시정상적인사용자들에게지속적인서비스를보장하기가어렵다. 발명의내용 해결하고자하는과제 <0006> 상기종래기술의문제점을해결하기위하여본발명은로드밸런싱기반이 아닌트래픽격리 (Traffic Isolation) 기반의 DNS 서비스정책을제공하는것을목 적으로한다. <0007> 또한, 본발명은네트워크사업자의사전설정된 DNS 정책에따라사용자그 룹별로상이한서비스서버로접속하게하는것을목적으로한다. <0008> 또한, 본발명은사용자를상이한주소의서버로유도하기위한 DNS 백엔드 프로세싱방법을제공하는것을목적으로한다. <0009> 또한, 본발명은전술한 DNS 백엔드프로세싱을수행하기위한 DNS 서버를 제공하는것을목적으로한다. <0010> 또한, 본발명은트래픽분리에도불구하고사용자의불편을최소화할수 28-2

4 있는사용자분류기법을제공하는것을목적으로한다. 과제의해결수단 <0011> 상기기술적과제를달성하기위하여본발명은, 클라이언트의 DNS 질의에 응답하여, 상기 DNS 질의에대응하는서버의복수의 IP 주소중선택적 IP 주소를 제공하는 DNS 서버에있어서, 상기 DNS 서버는, 상기클라이언트의 DNS 질의에관 련된복수의서버의노드데이터 ; 및상기클라이언트의 IP 주소에따라상기 DNS 질의에관련된상기서버노드의 IP 주소에대한 DNS 응답을제공하기위한룰셋 을구비하는것을특징으로하는 DNS 서버를제공한다. <0012> 본발명에서상기룰셋은복수의그룹으로그룹화된상기클라이언트에대 하여상기서버노드를대응시키는스크립트를포함할수있다. <0013> 본발명에서상기노드데이터는메인서버및복제서버에대한데이터를포 함하고, 상기클라이언트의 DNS 질의에대하여상기메인서버의 IP 주소를응답하 는디폴트모드 ; 및상기클라이언트의 DNS 질의에대한응답으로서, 상기클라이 언트의 IP 가속한그룹에따라선별적으로상기클라이언트의상기메인서버로의 접속을차단하는트래픽격리모드로동작하는것을특징으로한다. <0014> 본발명에서상기노드데이터는, 상기서버노드의 ID 와상기서버노드의 IP 를대응된데이터이다. <0015> 또한, 상기룰셋은, 상기클라이언트의 IP 주소에대응하는서버노드의 IP 주소를응답하는스크립트를포함할수있다. 28-3

5 <0016> 본발명에서상기복수의그룹은트래픽혼잡시상기메인서버로의접속우 선순위에따라분류되는것을특징으로한다. 이때, 상기복수의그룹은, 상기 메인서버로의최우선접속을보장하는제 1 그룹 ; 상기메인서버로의접속을차단하 는제 2 그룹 ; 및최소한상기복제서버로의접속을보장하는제 3 그룹을포함할수 있다. <0017> 또한, 상기제 3 그룹은, 상기클라이언트의 IP 주소가상기메인서버또는 복제서버로의과거접속이력이있는가여부보다구체적으로는과거접속이력이 있는 IP 주소와 IP 접두어가동일한가여부에따라구분될수있다. <0018> <0019> 본발명에서상기 DNS 서버는 PDNS 로바람직하게구현될수있다. 또한상기다른기술적과제를달성하기위하여본발명은 DNS 서버에도메 인네임에대응하는메인서버, 복제서버및검역서버를포함하는복수의서버에대 한노드데이터를입력하는단계와, 상기 DNS 서버에클라이언트의 IP 주소와상기 클라이언트 IP 주소에대응하여응답되어야할상기복수의서버노드에관한룰 셋을입력하는단계 ; 네트워크트래픽이비정상상태임을통보받는경우, 상기노 드데이터및상기룰셋에기초하여, 클라이언트의 DNS 질의에대한응답으로상 기클라이언트의 IP 주소에대응하는상기서버노드의 IP 주소를제공하도록설정 하는단계 ; 및상기설정에따라클라이언트의 DNS 질의에대하여응답하는단계를 포함하는 DNS 서버의백엔드프로세싱방법을제공한다. 발명의효과 28-4

6 <0020> 본발명에따르면, 클라이언트의거동에기초하여클라이언트서비스그룹을 정적화이트리스트, 동적화이트리스트, 블랙리스트, 동적화이트리스트로구분 하여각클라이언트그룹별로상이한 DNS 응답정책을적용할수있게한다. 이에 따라, 클라이언트의트래픽요청을상이한서비스서버로트래픽을격리하여, 정상 적인사용자에게원활한서비스를제공할수있게된다. <0021> 또한, 본발명에따른사용자그룹분류는 IP 스푸핑 (spoofing) 기법등을 이용한악의적요청의경우에도정상적사용자의서비스접속피해를최소화할수 있게된다. 도면의간단한설명 <0022> 도 1 은본발명의바람직한실시예에따른공격트래픽분산방법을구현하 기위한전체시스템구성을모식적으로도시한도면이다. 도 2 는본발명의바람직한실시예에따른복제서버의운영및트래픽분산 절차를개략적으로도시한도면이다. 도 3 은트래픽분리의전제로서사용자그룹분류를위한분류장치를모식 적으로도시한도면이다. 도 4 는본발명에따른 DNS 백엔드프로세싱을위한사용자분류의일례를 모식적으로도시한도면이다. 도 5 는리스트작성부에의해작성된블랙리스트보고서를예시적으로도시 한도면이다. 28-5

7 도 6 은본발명의바람직한실시예에따른트래픽분리를설명하기위한시 스템아키텍쳐를도시한도면이다. 도 7 은본발명의바람직한실시예에따른 DNS 서버의백엔드프로세싱절차 를도시하고있다. 발명을실시하기위한구체적인내용 <0023> 이하, 첨부한도면을참조하여, 본발명이속하는기술분야에서통상의지 식을가진자가용이하게실시할수있도록본발명을상술한다. 그러나본발명은 아래에서예시한것과다른형태로구현될수있으며여기에서설명하는실시예에 한정되지않는다. 또, 도면에서본발명을명확하게설명하기위해서설명과관계 없는부분은생략하였으며, 명세서전체를통하여유사한부분에대해서는유사한 도면부호를붙였다. <0024> 본발명을설명함에있어서, 관련된공지구성또는기능에대한구체적인 설명이본발명의요지를흐릴수있다고판단되는경우에는그상세한설명은생 략한다. <0025> 도 1 은본발명의바람직한실시예에따른공격트래픽분산방법을구현하 기위한전체시스템구성을모식적으로도시한도면이다. <0026> 도시된바와같이, 메인서버 (SM) 와다수의복제서버 (R11, R12, R21, R23) 가 인터넷서비스공급자 (Internet Service Provider) 에의해제공되는네트워크 ( Network; 10) 에분산되어있다. <0027> 본발명에서메인서버 (SM) 는예컨대 ' 과같은도메인네임을 28-6

8 가지고웹페이지상의서비스를구현하는웹서버일수있다. <0028> 상기복제서버 (R11, R12, R21, R23) 는상기메인서버가보유한원본콘텐츠 의전부또는일부의사본을구비하여메인서버 (R11, R12, R21, R23) 의기능을제 공할수있는서버를말한다. <0029> 복제서버 (R11, R12, R21, R23) 는다양한유형으로구현될수있다. 먼저, 복 제서버는메인서버의전체콘텐츠를복제서버에복사하는형태로구성될수있다. 복제소요시간이오래걸리고, 저장장치의자원이많이요구되지만, 사용자에게 가장안정적인서비스를제공할수있다. <0030> 이와달리, 사용자의요청이빈번한특정콘텐츠를복제서버에복사하는형 태로복제서버가구성될수있다. 이와같은관심기반복제서버는사용자요청이 빈번한콘텐츠인지여부를콘텐츠에대한사용자의요청횟수에기반하여판단할 수있다. 관심기반복제서버는상대적으로적은자원이요구되지만, 서비스제공 자는어떤콘텐츠에사용자들이관심을두는지모니터링해야하고, 이에따라복 제서버의콘텐츠를갱신해야한다. <0031> 또한, 멀티미티어파일, 문서파일, 사용자파일등으로콘텐츠의타입을나 누어콘텐츠를저장하는콘텐츠타입기반복제서버로구성될수도있다. 즉, 하나 의복제서버는하나이상의콘텐츠타입을담당하게된다. 이때, 콘텐츠타입이 란, 콘텐츠의파일형식이될수있고, 기설정된콘텐츠의분류가될수도있다. <0032> 본발명에서복제서버 (R11, R12, R21, R23) 는클라우드컴퓨팅기술로구현 될수있다. 클라우드컴퓨팅은서로다른물리적인위치에존재하는컴퓨터들의 28-7

9 자원을가상화기술로통합해제공하는기술로, 복제서버의자원을효율적으로사 용할수있게하며, 가상공간에있는서버의자원을이용하여복제서버를구축할 수있도록한다. 물리적으로, 상기복제서버는메인서버관리자가관리하는데이 터센터또는상기관리자와약정관계에있는다른사업자의데이터센터내에위 치할수있다. <0033> 본발명에서상기복제서버가반드시클라우드컴퓨팅기술로구현되어야하 는것은아니고별도의내부또는외부의리소스로구성되는것도가능하다. <0034> 본발명에따르면, 네트워크 (10) 에연결된사용자 (U) 와공격자 (A) 를포함하 는네트워크트래픽은적절히분리된다. <0035> 정상동작모드에서상기사용자 (U) 에의해전송되는정상패킷 (normal packet) 은네트워크 (10) 상의경로를거쳐메인서버 (SM) 로전송된다. <0036> 악의의사용자 (A) 의 DDoS 공격에의한패킷 (Attack Packets) 범람과같은트 래픽혼잡시메인서버로향하는네트워크경로상의적절한위치에복제서버가활 성화된다. 상기복제서버는활성화될위치에관계된데이터센터의관리자로전송 되는서버용량, 개수및활성화시점등을포함하는개시메시지 (invoke message) 에의해활성화될수있다. 상기복제서버는상기메인서버와동기화된다. 상기복 제서버와메인서버의동기화를위하여별도의네트워크예컨대콘텐츠전달네트 워크 (CDN) 가구성될수도있을것이다. <0037> DDoS 공격시범람패킷 (attack flood) 은상기메인서버로의네트워크경로 상에위치한활성화된복제서버 (R11, R12) 로리디렉션된다. 28-8

10 <0038> 본발명에서상기복제서버의활성화위치 (activate location) 및요구되는 리소스를결정하기위하여상기네트워크 (10) 의메인서버 (SM) 의인접위치에는복 제서버관리장치 (100) 와같은별도의수단이부가될수있다. <0039> 상기복제서버관리장치 (100) 는네트워크 (10) 의트래픽및상기메인서 버 (SM) 의상태를모니터링하고, 이에기초하여복제서버와관련한자원 (Resoruce) 을관리한다. 상기복제서버관리장치 (100) 는복제서버의개시 (invoction) 여부를 결정하기위하여별도의 IDS(Intrusion Detection System) 로부터 DDoS 공격여부에 대한정보를수신하여복제서버의개시여부결정에참조할수있다. <0040> 이상도 1 을참조하여설명한바와같이, 상기공격자 (A) 및사용자 (U1, U2, U3) 의트래픽은복제서버를포함하는여러서버로분산된다. 본발명에따른트래 픽의분산방법에대해서는후술한다. <0041> 도 2 는본발명의바람직한실시예에따른복제서버의운영및트래픽분산 절차를개략적으로도시한도면이다. <0042> 도 2 를참조하면, 악의의공격자등에의해트래픽혼잡이발생하는경우 IDS(Intrusion Detection System) 등의수단에의해비정상상태가검출된 다 (S100). 비정상상태가검출되면, 네트워크에산재한복제서버가개시 (invoke) 된 다 (S110). 복제서버가개시되면클라이언트트래픽은다수의복제서버로분리된 다 (S120). 이때, 후술하는바와같이 DNS 백엔드프로세성기반의트래픽분 리 (Traffic Isolation) 방식이적용된다. 공격이종료되고네트워크트래픽이정상 상태로회귀하면복제서버는중지된다 (S130). 28-9

11 <0043> 도 3 은트래픽분리의전제로서사용자그룹분류를위한분류장치를모식 적으로도시한도면이다. <0044> 도면을참조하면, 상기사용자그룹분류장치 (200) 는모니터링부 (210), IP 추출부 (220) 및리스트작성부 (230) 을포함하여구성될수있다. <0045> 본발명에서상기모니터링부 (210) 는 IDS 로부터 DDoS 가검출통보룰수신하 거나메인서버에대한클라이언트 IP 의접속기록을모니터링한다. <0046> IDS 로부터 DDoS 검출통보와같은비정상상태메시지가수신하는경우 IP 추출부 (220) 는해당메시지에서 DDoS 공격에관여한 IP 주소를추출한다. 상기리 스트작성부 (230) 는추출된 IP 주소를근거로블랙리스트를작성할수있다. <0047> 또한, 상기모니터링부 (210) 는메인서버및 / 또는복제서버로접속하는 IP 의 리스트를모니터링하고, 상기 IP 추출부 (220) 는추출된 IP 의접속기록을관리한 다. 예컨대, 상기 IP 추출부 (220) 는접속한 IP 의접두어와접속빈도를기록할수 있다. <0048> 도 5 는리스트작성부에의해작성된블랙리스트보고서를예시적으로도시 한도면이다. <0049> 도시된바와같이, 보고서의제 1 열 (D1) 에는해당리포트의작성일시가기 록되며, 해당리포트에서추가되는신규한 IP 주소가몇개인지를알려준다. 예컨 대, 도 5 의열 (D1) 에는 "0" 이라고기재하여직전보고서에비해새로운 IP 가추가 되지않았음을표현하고있다. <0050> 또한, 상기보고서의제 2 열이하에는 DDoS 공격빈도와해당 IP 주소가나열 28-10

12 된다. 예컨대 "25 : " 는 IP 주소 로부터총 25 회의 공격시도가있었다는것을알려준다. <0051> 이상과같이, 상기사용자분류장치는 IDS 와같은외부의시스템, 메인서버 및 / 또는복제서버와연동하여접속한사용자를적절한기준에따라분류한다. 물 론, 본발명에서상기사용자분류장치 (200) 는도 1 과관련한메인서버의일부콤 포넌트로구현되거나복제서버관리장치 (100) 와같이별도의콤포넌트로구현될수 있다. 또한, 상기사용자분류장치 (100) 는상기복제서버관리장치 (100) 와통합된 콤포넌트로구현될수있을것이다. <0052> 본발명에서사용자는크게 3 가지유형으로분류될수있다. 먼저, 최우선권 을갖는클라이언트그룹은화이트리스트로분류될수있을것이다. 다음으로, 가 장낮은우선권을갖는그룹은블랙리스트로분류될수있을것이다. 또한, 나머지 클라이언트는비나인리스트에편입될수있을것이다. 이그룹은보통의우선권을 가지며, 잠재적으로화이트리스트나블랙리스트에편입될가능성이있는그룹이 다. <0053> 본발명에따르면, 화이트리스트, 블랙리스트및비나인리스트는자동적 으로생성될수있다. 예컨대, 화이트리스트는기업고객과같은 VIP 클라이언트 로선별된특정클라이언트가포함될수있다. 또한, 블랙리스트는과거 DDoS 공 격에참여하거나악용된 IP 를갖는그룹이다. 따라서, 과거공격이력및고객정 보를활용함으로써화이트리스트와블랙리스트가분류될수있고, 나머지클라이 언트는모두비나인리스트로분류될수있다

13 <0054> 본발명에서클라이언트그룹은사용자의과거거동에근거하여보다세분화 할수있다. 도 4 는본발명에따른 DNS 백엔드프로세싱을위한사용자분류의일 례를모식적으로도시한도면이다. <0055> <0056> <0057> <0058> <0059> <0060> <0061> <0062> <0063> 도 4에서각클라이언트그룹은다음과같이분류된다. SW : 정적화이트리스트 (Static White List) DW : 동적화이트리스트 (Dynamic White List) BL : 블랙리스트 (Black List) BN : 비나인리스트 (Benign List) MW : 혼성화이트리스트 (Mixed White List) SG : 정적그레이리스트 (Static Gray List) DG : 동적그레이리스트 (Dynamic Gray List) GL : 그레이리스트 (Gray List) <0064> SW 는 VIP 고객그룹으로선별된특정그룹을지칭한다. 이그룹은대부분정 적 IP 주소를갖는클라이언트그룹이다. BL 은과거 DDoS 공격에사용된 IP 주소를 갖는클라이언트그룹이다. <0065> DW 는과거접속기록이있는 IP 주소의클라이언트를포함하여구성된다. 보 다바람직하게는접속기록이있는 IP 주소와동일한접두어를갖는클라이언트 IP 가 DW 에포함될수있다. 이를위해다음과같이 IP 주소접두어와접속회수를포 함하는테이블이 DW 분류를위해사용될수있다. 표 1 의테이블은전술한사용자 28-12

14 분류장치에의해획득될수있다. <0066> 표 1 <0067> IP Prefix Frequency (# of connection) * * 5 IP 접두어를기초로한 DW 그룹의사용자분류는다음과같은장점을갖는 다. 통계적으로종전접속이력이있는 IP 주소와동일접두어를갖는 IP 주소로부 터의접속은 99% 이상합법적인사용자로추정될수있다. 따라서, 접속기록과 IP 접두어를이용하여클라이언트를 DW 그룹으로편성하는것은합법적인사용자를구 분하는중요한방편이될수있다. 다만, 이들그룹에대한서비스는 SW 그룹에비 해서는우선순위가낮게되는것이바람직하다. <0068> 본발명에서위 DW, SW 및 BL 그룹에속하는속성을갖는클라이언트는보다 세분화될수있다. 클라이언트 IP 가 SW 와 DW 에동시에속하는클라이언트는 MW 그 룹으로분류한다. 이그룹은 DW 에비해높은서비스우선순위를부여할수있다. 또한, SW 와 BL 에동시에속하는클라이언트 IP 는 SG 그룹으로, DW 와 BL 에동시에 속하는클라이언트 IP 는 DG 로분류된다. 이그룹은각각 BL 그룹에비해높은서비 스우선순위가부여될수있다. 또한, 상기 SW, DW 및 BL 그룹에동시에속하는 클라이언트는 GL 로분류되며, SG 와 DG 에비해높은우선순위가부여될수있다. 한편, 기타 IP 접속기록을갖지않는클라이언트는 BN 그룹으로분류될수있다. BN 그룹은검역서버로의격리우선순위가 BL, DG, SG 및 GL 그룹에비해낮으며, 메인서버로의트래픽격리순위에서도 SW, MW 및 DW 보다낮도록유지할수있다

15 <0069> 각클라이언트그룹에대하여메인서버로부터트래픽분리 (Traffic Isolation) 가우선적으로적용되는순위는다음과같다. <0070> 표 2 <0071> Priority 그룹 1 BL 2 DG 3 SG 4 GL 5 BN 6 DW 7 MW 8 SW 도 6은본발명의바람직한실시예에따른트래픽분리를설명하기위한시 스템아키텍쳐를도시한도면이다. <0072> 도 6 을참조하면, DNS 서버는클라이언트로부터 DNS 질의 (query) 에대하여 응답 (answer) 한다. <0073> 상기 DNS 서버는바람직하게는 PDNS (Power DNS) 로구현될수있다. PDNS 는 상기클라이언트의질의에포함된소스 IP 에따라다양한응답이가능하도록하는 백엔드스크립트를보유할수있다. <0074> 도 6 에는상기 DNS 서버가트래픽분리를수행하기위한입력이도시되어있 다. 상기입력으로는노드데이터 (310), 룰셋 (320) 및비정상데이터 (330) 가포함 된다. <0075> 상기노드데이터 (310) 는서비스의제공을위한메인서버와복제서버의 ID 및주소정보를포함한다. 또한, 상기노드데이터에는추가정보가포함될수있 다. 예컨대, 상기추가정보는해당서버에대한명칭또는설명, 서버의크 28-14

16 기 (capacity) 및기타부가데이터가포함될수있다. 예시적으로상기노드데이 터는아래표 3 과같이구성될수있다. <0076> 상기노드데이터 (310) 는전술한메인서버또는복제서버관리장치로부터전 송될수있다. <0077> 표 3 Node ID IP Address Reserved Main Server/capacity/additional data Replica #1/capacity/additional data Replica #2/capacity/additional data <0078> 상기룰셋 (rule set) 은 DNS 서버의백엔드스크립트의구현을위한규칙들 을논리적으로기술한파일형태로된룰들을지칭한다. <0079> 예컨대, 상기룰들은질의에관련된소스 IP 에대하여해당 IP 의전술한사 용자구분에따라어떠한 DNS 응답을제공할것인가에관한정보를포함한다. <0080> <0081> <0082> <0083> <0084> 룰들은다음과같이 '\n' 과같은개행문자에의해분리될수있다. (if $ip eq " ") && ($qtype eq "A" $qtype eq "ANY") \n.. \n EOF 예컨대, 상기룰들은입력된 IP가블랙리스트로분류된 IP인경우특정노 드 ( 예컨대검역서버노드 ) 로전송하는스크립트를포함할수있다. 또한, 화이트리 스트로분류된 IP 에대해서는다른노드 ( 예컨대메인서버노드 ) 로전송하는스크립 트를포함할수있다. 또한, 동적화이트리스트로분류된 IP 에대해서는또다른 노드 ( 예컨대복제서버 ) 로전송하는스크립트를포함할수있다

17 <0085> 상기룰들은전술한사용자분류장치의보고서에기초하여작성될수있다. 또한, 상기룰들은시스템운영자에의해작성되거나외부의시스템으로부터전송 될수있다. <0086> 부가적으로, 비정상데이터가상기 DNS 서버로입력될수있다. 상기비정상 데이터는트래픽이상의유형에관한정보를포함한다. 예컨대, 상기비정상데이 터는어떤 DDoS 공격유형인지에관한정보를포함할수있다. 상기비정상상태에 관한정보는전술한룰셋에반영되어트래픽격리의수행에참조될수있다. <0087> 상기 DNS 서버는상기클라이언트로부터의질의패킷으로부터상기클라이언 트의 IP 어드레스나패킷소스 IP 어드레스를추출한다. 전술한룰셋에기초하여 추출된 IP 어드레스에대한적당한 DNS 응답이제공된다. <0088> 도 7 은본발명의바람직한실시예에따른 DNS 서버의백엔드프로세싱절차 를도시하고있다. <0089> 도 7 을참조하면, 먼저 DNS 서버에노드데이터 (S210) 및룰셋 (S210) 이제 공된다 (S210, S212). <0090> IDS 등에의해제공되는정보에기초하여네트워크트래픽이비정상상태인 가여부가결정된다 (S214). 비정상상태가아닌경우, 상기 DNS 서버는디폴트모 드의 DNS 기능으로동작한다 (S216). <0091> <0092> 비정상상태인경우, DNS 질의에대한트래픽격리모드가개시된다. 상기 DNS 서버로 DDoS 공격유형정보가입력되며 (S220), 클라이언트의 DNS 질의에대하여입력된룰셋및노드데이터에기초하여적절한 DNS 응답이제공된 28-16

18 다. <0093> 질의에관련된클라이언트의 IP 주소에기초하여해당 IP 주소가블랙리스트 로분류된경우 (S224), 해당클라이언트를검역서버의주소로인도하는 DNS 응답이 제공된다 (S226). <0094> 해당 IP 주소가정적화이트리스트로분류된경우 (S228) 메인서버의주소로 인도하는 DNS 응답에제공되고 (S230), 해당 IP 주소가동적화이트리스트로분류된 경우 (S232) 해당클라이언트를복제서버로인도하는 DNS 응답이제공된다 (S234). <0095> 도시하지않았지만, 도 5 와관련하여설명한다른 IP 주소그룹의클라이언 트질의에대해서적절한 DNS 응답이제공될수있다. 부호의설명 <0096> A 공격자 U 사용자 R 복제서버 10 네트워크 100 복제서버자원관리장치 200 사용자분류장치 210 IP 추출부 220 리스트작성부 300 DNS 서버 28-17

19 310 노드데이터 320 룰셋 330 비정상데이터 28-18

20 특허청구범위 청구항 1 클라이언트의 DNS 질의에응답하여, 상기 DNS 질의에대응하는서버의복수 의 IP 주소중선택적 IP 주소를제공하는 DNS 서버에있어서, 상기 DNS 서버는, 상기클라이언트의 DNS 질의에관련된복수의서버의노드데이터 ; 및 상기클라이언트의 IP 주소에따라상기 DNS 질의에관련된상기서버노드 의 IP 주소에대한 DNS 응답을제공하기위한룰셋을구비하는것을특징으로하 는 DNS 서버. 청구항 2 제 1 항에있어서, 상기룰셋은 복수의그룹으로그룹화된상기클라이언트에대하여상기서버노드를대응 시킨것을특징으로하는 DNS 서버. 청구항 3 제 2 항에있어서, 상기노드데이터는메인서버및복제서버에대한데이터를포함하고, 상기클라이언트의 DNS 질의에대하여상기메인서버의 IP 주소를응답하는 28-19

21 디폴트모드 ; 및 상기클라이언트의 DNS 질의에대한응답으로서, 상기클라이언트의 IP 가속 한그룹에따라선별적으로상기클라이언트의상기메인서버로의접속을차단하는 트래픽격리모드로동작하는것을특징으로하는 DNS 서버. 청구항 4 제 3 항에있어서, 상기노드데이터는, 상기서버노드의 ID 와상기서버노드의 IP 를대응시킨것을특징으로하는 DNS 서버. 청구항 5 제 3 항에있어서, 상기룰셋은, 상기클라이언트의 IP 주소에대응하는서버노드의 IP 주소를응답하는스 크립트를포함하는것을특징으로하는 DNS 서버. 청구항 6 제 3 항에있어서, 상기복수의그룹은트래픽혼잡시상기메인서버로의접속우선순위에따 28-20

22 라분류되는것을특징으로하는 DNS 서버. 청구항 7 제 6 항에있어서, 상기복수의그룹은, 상기메인서버로의최우선접속을보장하는제 1 그룹 ; 상기메인서버로의접 속을차단하는제 2 그룹 ; 및최소한상기복제서버로의접속을보장하는제 3 그룹 을포함하는것을특징으로하는 DNS 서버. 청구항 8 제 7 항에있어서, 상기제 3 그룹은, 상기클라이언트의 IP 주소가상기메인서버또는복제서버로의과거접속 이력이있는가여부에따라구분되는것을특징으로하는 DNS 서버. 청구항 9 제 7 항에있어서, 상기제 3 그룹은, 상기클라이언트의 IP 주소가상기메인서버또는복제서버로의과거접속 이력이있는 IP 주소와 IP 접두어가동일한가여부에따라구분되는것을특징으로 하는 DNS 서버

23 청구항 10 제 1 항에있어서, 상기 DNS 서버는 PDNS 로구현되는것을특징으로하는 DNS 서버. 청구항 11 DNS 서버에도메인네임에대응하는메인서버, 복제서버및검역서버를포함 하는복수의서버에대한노드데이터를입력하는단계와, 상기 DNS 서버에클라이 언트의 IP 주소와상기클라이언트 IP 주소에대응하여응답되어야할상기복수의 서버노드에관한룰셋을입력하는단계 ; 네트워크트래픽이비정상상태임을통보받는경우, 상기노드데이터및 상기룰셋에기초하여, 클라이언트의 DNS 질의에대한응답으로상기클라이언트 의 IP 주소에대응하는상기서버노드의 IP 주소를제공하도록설정하는단계 ; 및 상기설정에따라클라이언트의 DNS 질의에대하여응답하는단계를포함하 는 DNS 서버의백엔드프로세싱방법

24 요약서 요약 클라이언트트래픽격리에의해트래픽을클라우드기반서버로분산하는장 치및방법이개시된다. 본발명은클라이언트의 DNS 질의에응답하여, 상기 DNS 질의에대응하는서버의복수의 IP 주소중선택적 IP 주소를제공하는 DNS 서버에 있어서, 상기 DNS 서버가상기클라이언트의 DNS 질의에관련된복수의서버의노 드데이터 ; 및상기클라이언트의 IP 주소에따라상기 DNS 질의에관련된상기서 버노드의 IP 주소에대한 DNS 응답을제공하기위한룰셋을구비하는것을특징 으로한다. 본발명에따르면, 클라이언트그룹별로상이한 DNS 응답정책을적용 할수있게한다. 이에따라, 클라이언트서비스그룹별로상이한서비스서버로 트래픽을격리함으로써정상적인사용자에게원활한서비스를제공할수있게된 다. 대표도 도

25 도면 도

26 도 2 도

27 도 4 도

28 도

29 도

Microsoft Word - release note-VRRP_Korean.doc

Microsoft Word - release note-VRRP_Korean.doc VRRP (Virtual Router Redundancy Protocol) 기능추가 Category S/W Release Version Date General 7.01 22 Dec. 2003 Function Description VRRP 는여러대의라우터를그룹으로묶어하나의가상 IP 어드레스를부여해마스터로지정된라우터장애시 VRRP 그룹내의백업라우터가마스터로자동전환되는프로토콜입니다.