Journal of the Korea Society for Simulation (한국시뮬레이션학회논문지)

The Korea Society for Simulation (한국시뮬레이션학회)
권호 표지
DOI QR코드

DOI QR Code

DDoS Defense using Address Prefix-based Priority Service

Address Prefix에 기반한 우선 순위 서비스를 이용한 DDoS 방어

  • 김경학 (영남대학교 전자정보공학부) ;
  • 이태진 (한국인터넷진흥원 정보보호본부 보호기술팀) ;
  • 남승엽 (영남대학교 전자정보공학부)
  • Received : 2009.11.07
  • Accepted : 2009.12.09
  • Published : 2009.12.30
Download PDF
⟨ Previous Next ⟩

Abstract

We propose a two-stage Distributed Denial of Service (DDoS) defense system, which can protect a given subnet by serving existing flows and new flows with a different priority based on IP history information. Denial of Service (DoS) usually occurs when the resource of a network node or link is limited and the demand of the users for that resource exceeds the capacity. The objective of the proposed defense system is to provide continued service to existing flows even in the presence of DDoS attacks. The proposed scheme can protect existing connections effectively with a smaller memory size by reducing the monitored IP address set through sampling and per-prefix history management. We evaluate the performance of the proposed scheme through simulation.

본 논문에서는 IP 히스토리 정보를 이용하여 기존의 연결된 flow와 새로 도착한 flow를 다른 우선순위로 서비스하여 특정 서브넷을 DDoS(Distributed Denial of Service) 공격으로부터 보호하는 방어 시스템을 제안한다. DDoS 공격은 일반적으로 네트워크 노드 혹은 링크의 리소스가 제한되어 있으며 네트워크 리소스에 대한 사용자의 수요가 실제 네트워크 노드 혹은 링크의 용량을 초과하는 경우에 발생하게 된다. 제안된 방어 시스템은 두 단계로 나뉘어서 작동하게 되는데, 첫 번째 단계에서는 접속을 시도하는 외부 IP에 대해 샘플링기법을 사용하여 모니터링 하는 IP주소의 개수를 줄이고, 두 번째 단계에서는 정상적인 IP의 목록을 관리하고 DDoS 공격이 발생하였을 때 IP 목록에 기반해 기존의 연결된 flow와 새로 도착한 flow를 구별함으로써 기존의 연결된 flow에 대해서 지속적이고 정상적인 서비스를 제공한다. 제안된 DDoS 방어 시스템의 성능은 시뮬레이션을 통해 평가한다.

Keywords

References

  1. M. E. Crovella and A. Bestavros. (1997), Self-similarity in world wide web traffic: evidence and possible causes, IEEE/ACM Trans. Networking, Vol. 5, No. 6, pp. 835-846. https://doi.org/10.1109/90.650143
  2. D. Dagon, G. Gu, C. P. Lee, and W. Lee. (2007), "A Taxonomy of Botnet Structures," Proc. Annual Computer Security Applications Conference (ACSAC), pp. 325-339.
  3. Estan, C., and Varghese, G. (2002), "New Directions in Traffic Measurement and Accounting," Proc. ACM SIG COMM, pp. 323-336.
  4. Fan, L., Cao, P., Almeida, J., and Broder, A.Z. (1998), Summary cache: a scalable wide-area web cache sharing protocol, Technical Report 1361, Univ. of Wisconsin- Madison.
  5. Jung, J., Krishnamurthy, B., and Rabinovich, M. (2002) "Flash Crowds and Denial of Service Attacks: Characterization and Implication for CDNs and Web Sites", Proc. World Wide Web (WWW) Conference, pp. 293-304.
  6. Kompella R.R., Singh, S., and Varghese, G. (2004), "On Scalable Attack Detection in the Network", Proc. ACM Internet Measurement Conference (IMC), pp. 187-200.
  7. X. Liu, X. Yang, and Y. Lu (2008), "To Filter or to Authorize: Network-Layer DoS Defense Against Multimillion node Botnets," Proc. ACM Sigcomm, pp. 195-206.
  8. Peng, T., Leckie, C., and Ramamohanarao, K. (2003), "Protection from Distributed Denial of Service Attack Using History-based IP Filtering", Proc. IEEE ICC, pp. 482-486.
  9. Peng, T., Leckie, C., and Ramamohanarao, K. (2004), "Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring", Proc. Networking Conference, pp. 771-782.
  10. Peng, T., Leckie, C., and Ramamohanarao, K. (2007), "Survey of Network-Based Defense Mechanisms Countering the DoS and DDoS Problems", ACM Computing Surveys, Vol. 31, No. 1, Article No. 3, pp. 1-42.
  11. Z. Sun, D. He, L. Liang, and H. Cruickshank. (2004), "Internet QoS and traffic modelling", IEE Proceedings, Vol. 151, No. 5, pp. 248-255.
  12. X. Yang, D. Wetherall, and T. Anderson (2008), "TVA: A DoS-Limiting Network Architecture," IEEE/ACM Trans. on Networking, Vol. 16, No. 6, pp. 1267-1280. https://doi.org/10.1109/TNET.2007.914506