Pi를 이용한 flooding-based DDoS attack의 방어기법

Alternative Title
Flooding-based DDoS Defense using Pi
Author(s)
이현주
Alternative Author(s)
Lee, Hyun-ju
Advisor
홍만표
Department
정보통신전문대학원 정보통신공학과
Publisher
The Graduate School, Ajou University
Publication Year
2005
Language
kor
Abstract
DDoS attack은 정상적인 사용자들이 서비스를 이용하지 못하도록 막는 공격인 DoS attack이 분산된 형태로 일어나는 공격이다. 여러 가지 공격 형태 중 flooding-based DDoS attack은 방어하기 가장 어려운 공격이다. 그 이유는 공격자가 단순히 많은 양의 패킷을 보내면서 공격하기 때문에 트래픽 양을 기준으로 공격이 일어난 것인지 사용자 폭주가 일어난 것인지 구별할 수 없기 때문이다. 즉, 공격 트래픽과 정상 트래픽을 구별할 수 없다. 제안하는 기법의 목적은 Pi 라는 패킷마킹기법을 이용하여 flooding-based DDoS attack을 효율적으로 방어하는 것이다. 기본적인 아이디어는 Pi가 가지는 특징과 공격의 특성을 이용하는 것이다. Pi의 특징은 같은 경로로 전송되는 패킷은 모두 같은 마킹값을 가진다는 것이다. 즉, 같은 소스 어드레스에서 출발하는 패킷은 모두 같은 마킹값을 가진다. 공격의 특성은 단독의 공격 호스트가 보내는 패킷 양이 정상 호스트가 보내는 패킷 양보다 훨씬 많다는 것이다. 즉, 한 호스트가 보내는 패킷 양을 비교해보면 공격 호스트가 보내는 패킷 양이 훨씬 많다. 이 두 가지 특징을 결합하면 동일한 마킹값이 많이 발생하면 해당 마킹값을 가지는 패킷을 공격 패킷이라고 간주할 수 있다. 빈도수 검사 기법은 마킹값의 빈도수를 세서 빈도수가 높은 패킷을 공격 호스트가 보낸 패킷이라고 간주하고 필터링하는 것이다. 빈도수 검사 기법을 이용하면 마킹값을 근거로 공격 트래픽과 정상 트래픽을 구별할 수 있다. 하지만, 빈도수 검사 기법은 심각한 문제점을 가진다. 만약 피해 호스트 가까이 위치한 공격자가 있어서 마킹 필드(16비트)를 모두 채우지 못한다면 피해 호스트가 정확한 마킹값을 받을 수 없기 때문이다. 정확하지 않은 마킹값들로 인해 공격 호스트가 보내는 패킷인데도 불구하고 마킹값들이 분산되어 빈도수가 높지 않게 되는 것이다. 제안하는 기법은 빈도수 검사 기법의 문제점을 해결한 방법이다. 기본적인 아이디어는 빈도수를 셀 때 마킹 필드를 전체로 세는 것이 아니라 몇 개의 섹션으로 나누어 섹션별로 빈도수를 세는 것이다. 제안하는 기법은 빈도수 검사 기법의 문제점을 해결하면서 flooding-based DDoS attack을 효율적으로 방어할 수 있다.
Alternative Abstract
DDoS attack is short for "distributed denial of service attack" and whose goal is to deny the service to the legitimate users. Among several types of attacks, flooding-based DDoS attack is the most difficult problem to defend against. Since the attackers send seemingly legitimate packets, we cannot distinguish between attack packets and normal packets. The proposed method is "flooding-based DDoS defense using Pi". The proposed method uses the characteristic of Pi and the common feature of the attack. The characteristic of Pi is that all packets traversing the same path have the same marking value. That is, all packets from the same source IP address have the same marking value. And, the common feature of the attack is that the attack traffic volume form single path is much higher than the legitimate traffic volume from several paths. Therefore, when DDoS attack occurred, certain marking value of incoming packets is observed frequently. Frequency checking method is the method which counts all observed marking values and then performs the packet filtering whose frequency is high. Frequency checking method is the efficient method, but it has a serious problem. The proposed method supplements the problem of frequency checking method, and defenses flooding-based DDoS attack effectively.
URI
https://dspace.ajou.ac.kr/handle/2018.oak/16480
Fulltext

Appears in Collections:
Special Graduate Schools > Graduate School of Information and Communication Technology > Department of Information and Communication > 3. Theses(Master)
Files in This Item:
There are no files associated with this item.
Export
RIS (EndNote)
XLS (Excel)
XML

Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Browse