요 약
매년 분산 서비스 거부(Distributed Denial of Service attack)공격으로 인한 피해는 증가하고 있고, 다양한 공격특성으로 인하여 방어하기가 더욱 어려워지고 있다. DDoS공격이란 대상 시스템이 처리할 수 없을 정도의 다량의 패킷을 전송하여 대상 시스템의 정상적인 동작을 방해하는 공격이다. 주요 특징으로는 공격자가 자신을 위장(IP Spoofing)한 후 흩어져 있는 여러 에이전트(Agent)들을 이용하여 공격하는 것이다. 본 논문에서는 이러한 DDoS공격에 대하여 효과적으로 방어하기 위해 기존 연구 방법인 Distributed Packet Filtering을 살펴보고 이의 단점을 보완함으로써 효과적인 DDoS공격에 대한 방어 방법을 제안한다. 이 방법은 피해자가 DDoS공격신호를 판단한 후 AS(Autonomous system)노드에게 필터링을 요청하면, 필터링 노드는 필터링을 수행하고 점차 필터링의 양을 줄이게 된다. 그리고 위장된 패킷을 필터링하는 동안 필터링의 과부하를 최소할 수 있다. 이러한 이유로 방어에 필요한 필터링 노드수를 더욱 줄일 수 있기 때문에 기존의 Distributed Packet Filtering 방법 보다 효율적으로 방어 할 수 있는 모델이다.
Alternative Abstract
Abstract
Every year, The damage due to DDoS attack has been increasing, and being difficult in defending because of various attack method. DDoS attack refers to an attack that makes the target system impossible in performing its normal service by transmitting as many packets as unmanageable to target system. The major character is IP spoofing attacker itself and attacking by using many escalated agents. In this dissertation, effective defense method against DDoS attack is proposed by examining the existing research method and by supplementing any defects. A dynamic packet filtering is proposed. After the victim judges DDoS attack signals, the victim sends filtering requests to participating AS nodes. The filtering nodes then perform the filtering, gradually reducing the filtering load. With this method the filtering overhead is kept minimal while effectively filtering spoofed packets. On this Distributed Packet Filtering methods of existing will be able to defend more efficiently is a model because being the possibility of reducing the filtering node number which is necessary to a defense.