검색 상세

이웃 라우터간의 협력을 통한 분산서비스 거부공격에 대한 완화기법

A New DDOS Mitigation approach by using cooperative neighbor routers

초록/요약

인터넷의 초창기부터 존재해 사회적 이슈가 될 만큼 심각한 위험이 되고 있는 분산 서비스 거부 공격은 그 방식과 프로토콜에 따라 다양한 양상으로 발전되어 왔다. 특히 네트웍 대역폭 소진을 통해 전체로 피해를 확산시키는 플루딩 방식의 분산 서비스거부 공격은 해당 라우터의 전체가 통신불능의 상태가 되어, 전체로 피해가 커짐은 물론, 따로 다른 네트웍에 연결되어 있지 않는 한 원격에서 라우터로 접근조차 불가능하게 되어 최소한의 조치 조차 어렵게 한다는 점에서 매우 심각한 문제로 인식되고 있다. 본 논문에서는 분산된 공격에 대해 분산된 대응을 한다는 취지 하에, VR의 상위 ISP와 연결된 이웃 라우터와의 라우팅 협력을 통해 VR의 가용 대역폭에 맞게 공격 트래픽을 분산 시키도록 하여 VR의 생존성은 유지하되, NR의 네트웍 리소스가 소진 되지 않도록 분산 대응하여 효과적으로 분산서비스 거부 공격을 완화시키는데 주안점을 두었다. 제안한 방법에 대해 기존SR대응기법을 포함한 성능비교를 위해 인터페이스 중간에 브릿지를 구성하고, 내부 tc명령어로 라우터의 토큰 버켓 알고리즘과 유사한 HTB(Hierarchical Token Bucket) 스케쥴링을 사용하여 트래픽을 조절하였다. 일정범위의 랜덤한 공격 트래픽에 대해서 각기 다른 임계치 값의 대역폭으로 제한 하여 성능테스트를 실시한 결과 그 값에 따라 기존 방식에 비해 28.3% ~ 42.1% 의 성능효과가 있음을 확인 할 수 있었다.

more