Dynamic Packet Filtering for IP Fragments

IP Fragment 패킷을 위한 동적 패킷필터링 기법

본 논문에서는 IP Fragment 패킷을 이용한 공격에 대해서 소개하고, 현재 사용되고 있는 패킷필터링 방법의 문제점을 극복하기 위한 동적인 패킷필터링 기법을 제안하고 있다. 기존 패킷필터링 방법이 IP 주소 또는 프로토콜 기반의 정적인 규칙에 의한 필터링 방법을 이용하는 반면, 본 논문에서 제안하는 방법은 IP Fragment 패킷에 대해서 단위 시간당 데이터 양으로 표현되는 트래픽에 기반한 패킷필터링 규칙이 동적으로 생성되도록 한다. 이렇게 동적으로 생성된 규칙은 이후 이상 트래픽이 발생되면 자동으로 차단규칙으로 변경되어 IP Fragment 패킷 공격으로부터 네트워크 호스트의 시스템 자원을 보호할 수 있도록 한다.