분산서비스거부공격에 대응하기 위한 Pushback기법 개선방안에 대한 연구

Abstract

지난 몇 년간 분산서비스(DDoS: Distributed Denial of Service attack) 공격의 기법들은 더욱 복잡해지고 효과적으로 변하였으며, 공격자를 추적하기는 더욱 힘들어지고 있다. 분산 서비스 거부 공격은 기존의 서비스 거부 공격과는 다른 형태의 공격방법으로, 네트워크나 대상시스템의 취약점에 의존하지 않고 공격 대상이 처리할 수 없을 만큼 다수의 패킷을 전송함으로써 공격대상이 정상적인 서비스를 제공하지 못하도록 한다는 특징이 있다. 정상적인 상황의 경우, 서비스를 요구하는 패킷의 양이 증가 할수록 서비스를 제공하는 시스템의 효율성은 증가 하게 된다. 하지만 패킷의 양이 네트워크 혹은 시스템의 처리 용량을 초과할 경우 심각한 문제를 야기하며 심지어 시스템이 붕괴되는 심각한 상황을 초래하게 된다. 이러한 상황에서 더욱 문제가 되는 것은 대부분의 DDoS 공격의 경우 IP 스푸핑을 사용하고 있기 때문에 서비스 제공자가 어떠한 패킷을 필터링 해야 하는지를 구분하기 힘들다는 점이다. 따라서 DDoS 공격이 진행되는 동안 합법적인 사용자들이 공격 패킷들로 인해 서비스를 제공받지 못하는 결과가 발생한다. 본 논문에서는 이러한 위협에 대응하기 위하여 기존의 pushback 기법의 단점을 보완한 새로운 pushback 기법을 제안하고자 한다. 제안된 방법의 경우 기존의 pushback 기법이 지니고 있는 단점인 중간 라우터(intermediate-router)의 오버헤더 증가, 공격경로 재구성에 필요한 오버헤더, 재구성된 공격경로의 부정확성과 같은 단점들을 보완하고 있다. 또한 제안된 방법의 경우 공격 패킷을 공격대상 네트워크가 아닌 공격자가 위치하고 있는 네트워크에서 제거함으로써 공격패킷의 필터링 효과를 더욱 향상 시켰다.