Abstract
In this paper, we present a simulation model of Slammer worm propagation process which caused serious disruptions on Internet in the you of 2003 and analyze the process of Slammer by using NS-2. Recently introduced NS-2 modeling called "Detailed Network-Abstract Network Model" had enabled packet level analysis. However, it had deficiency of accommodating only small sized network. By extending the NS-2 DN-AN model to AN-AN model (Abstract Network-Abstract Network model), it is effectively simulated that the whole process from the initial infection to the total network congestion on hourly basis not only for the Korean network but also for the rest of the world networks. Furthermore, the progress of the propagation from Korean network to the other country was also simulated through the AN-AN model. 8,848 hosts in Korean network were infected in 290 second and 66,152 overseas hosts were infected in 308 second. Moreover, the scanning traffics of the worm at the Korean international gateway saturated the total bandwidth in 154 seconds for the inbound traffic and in 135 seconds for the outbound one.
본 논문에서는 2003년 국내 뿐만 아니라 전세계의 인터넷망에서의 심각한 소통장애를 일으켰던 슬래머 웜 보안공격의 전파과정에 대한 새로운 통신망 모델을 제시하고 NS-2를 이용한 시뮬레이터를 구현하여 웜 보안공격에 의한 전파과정을 분석하였다. 기존 DN-AN모델을 Abstract network-Abstract network(AN-AN)모델로 추상화함으로써 국내 뿐만 아니라 전 세계의 수많은 호스트를 대상으로 한 대규모 인터넷망에 대하여 최초의 웜 패킷이 국내의 인터넷 국제관문국으로 유입된 시점부터 국내의 망이 포화되는 전 과정을 시간대별로 분석할 수 있는 NS-2용 시뮬레이터를 구현하였다. 또한 구현된 시뮬레이터는 감염된 국내의 호스트에 의해 국외의 호스트를 감염시키는 과정도 분석 가능하였다. 시뮬레이션 결과 290초만에 8,848개의 국내 호스트가 감염되었고, 308초만에 66,152개의 국외 호스트가 감염되었다. 또한 공격시 수행되는 웜 감염 전파과정에 의해 국내로 유입되거나 국외로 유출되는 웜 감염패킷들은 국제관문국에서 각각 154초와 135초내에 포화됨을 알 수 있었다.
