DDoS Prevention System Using Double Firewall and Multi-Filtering Method

이중 방화벽과 다중 필터링을 이용한 DDoS 차단 시스템

  • 조지호 (한남대학교 컴퓨터공학과) ;
  • 신지용 (한남대학교 컴퓨터공학과) ;
  • 이극 (한남대학교 컴퓨터공학과)
  • Received : 2014.03.20
  • Accepted : 2014.03.28
  • Published : 2014.03.30

Abstract

This paper proposes multi-filtering method on the double firewall to prevent DDoS attack. In the first firewall, R-PA filtering algorithm and rigid hop counter filtering method are applied by analyzing packet paths. In the second firewall, packets are examined to be distinguished abnormal from normal packets. Security policy system monitors each user sessions and if the traffic is over the threshold value, the system blocks that session for an assigned time.

본 논문에서는 DDoS 탐지를 위해 기존의 이중 방화벽에 다중 필터링 방법을 적용한다. 1차 방화벽에서는 외부에서 유입되는 패킷 경로를 분석하여 R-PA(Router Path Anlaysis) 패킷 필터링 알고리즘과 엄격한 홉 카운터 필터링을 적용한다. 2차 방화벽에서는 1차 방화벽을 거쳐서 온 패킷의 데이터를 검사하여 정상적인 패킷과 비정상적인 패킷을 구분하고, 패킷 트래픽이 사용자에게 할당 된 임계치를 초과하는지를 검사하여 DDoS 공격을 차단한다.

Keywords

References

  1. David Moore, Slammer Worm, http://www.cs.berkeley.edu/-nweaver/sapphire/.
  2. 서동민, 서버 마비시키는 좀비 공격 - 디도스(DDoS) 공격, http://it.donga.com/openstudy/4064/
  3. 이지선, 이민순, 이병수, 해킹과 보안 마스터, 이한출판사, 2004.
  4. DDoS 공격유형 및 보안장비별 대응방법, NCIA, 2010.
  5. Juan M. Estevez-Tapiador and Pedro Garcia-Teodoro and jesus E.Diaz-Verdejo, Anomaly Detection Methods in Wired Network: a Survey and Taxonomy, Computer Communication, 2004.
  6. 이형수, 저대역 DDoS 공격 대응 시스템 (Respond System for Low-Level DDoS Attack), 숭실대학교, 2011
  7. 장세덕, TCP/IP 유무선 네트워크, 대림출판사, 2005
  8. Jung-Hyo Park, Hyun-Chul Kim, Moon-Seog Jun, "Efficient detection and defense techniques of using two firewalls and a monitoring system for DDoS attacks," Proceedings of KIISE(D), Vol. 36, No. 4, pp78-81, 2009.
  9. 서우석, 박대우, 전문석, "DDoS 공격기법과 다중방화벽 기법을 이용한 방어에 관한 연구," 한국컴퓨터학회 학술대회 논문집, 18권 1호, pp231-240, 2010.
  10. 안지용, 고속 패킷 필터링 알고리즘 개발 (Development of a Fast Packet Filtering Algorithm), 숭실대학교, 2002.
  11. Yonghoon Jeong, Manpyo Hong , Hongjin Yeh, "An Efficient Implementation of Hop Count Filtering using Path Identification Mechanism,"Proceedings of KIISE(A), Vol. 31, No. 1, pp322-324, 2004.
  12. KangSin Lee, Dynamic Path Identification Method to Defend Against DDoS Attack, Korea University, 2005.
  13. Karanjit siyank, Chris Hare, Internet Filerwalls and Network Secureity, New Rider Pub. 1996.
  14. 김동수, 능력 토큰을 이용한 SYN 범람 공격 방어 프레임워크, 아주대학교, 2005.