정보처리학회논문지C (The KIPS Transactions:PartC)

한국정보처리학회 (Korea Information Processing Society)
권호 표지
DOI QR코드

DOI QR Code

네트워크 대역폭 고갈 공격에 대한 정책 기반 재구성 가능 대역폭제어기

Policy-based Reconfigurable Bandwidth-Controller for Network Bandwidth Saturation Attacks

  • 발행 : 2004.12.01
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

초고속 인터넷 망등의 국내 인터넷의 저변확대로 인해 전자상거래, 인터넷뱅킹, 전자정부, 이메일등 의 많은 서비스와 다양한 정보의 보고로서 인터넷이 사용되고 있다. 근래에는 가상생환환경의 제공과 멀티미디어 서비스를 제공하고자 새로운 미래형 네트워크인 NGN(Next Gener-ation Network)로서 발전하고 있다. 인터넷은 원격지에서도 원하는 정보를 취득할 수 있는 장점이 있는데, 반대 급부로서 상대방의 정보를 허가없이 몰래 추출, 변조하거나 서비스를 제공하는 경쟁사의 서버를 다운시키는 등의 공격이 증대되고 있다. 2000년부터 님다(Nimda) 바이러스, 코드레드(Code Red) 바이러스, 분산서비스 거부 공격(DDoS : Distributed Denial of Service)이 인터넷 전반에 걸쳐 수행되어 네트워크의 사용을 불편하게 하며, 내부 네트워크 트래픽의 비정상적인 증가를 수반했다. 이러한 대역폭 고갈 침해공격에 대하여 네트워크의 유입점에 위치하는 게이트웨이 시스템에 기가비트 이더넷 인터페이스를 갖는 보안네트워크 카드에 재구성 가능한 하드웨어 기능을 제공 가능한 FPGA (Field Programmable Gate Arrart)상에 대역폭 재어기능인 폴리싱(Policing)을 구현한다.

Nowadays NGN is developed for supporting the e-Commerce, Internet trading, e-Government, e-mail, virtual-life and multimedia. Internet gives us the benefit of remote access to the information but causes the attacks that can break server and modify information. Since 2000 Nimda, Code Red Virus and DSoS attacks are spreaded in Internet. This attack programs make tremendous traffic packets on the Internet. In this paper, we designed and developed the Bandwidth Controller in the gateway systems against the bandwidth saturation attacks. This Bandwidth con-troller is implemented in hardware chipset(FPGA) Virtex II Pro which is produced by Xilinx and acts as a policing function. We reference the TBF(Token Bucket Filter) in Linux Kernel 2.4 and implemented this function in HDL(Hardware Description Language) Verilog. This HDL code is synthesized in hardware chipset and performs the gigabit traffic in real time. This policing function can throttle the traffic at the rate of band width controlling policy in bps speed.

키워드

참고문헌

  1. Paul Ferguson, Geoff Huston, Quality of Service - Delivering QoS on the Internet and in Corporate Networks, Wiley Computer Publishing, 1998
  2. Pars Mutaf, 'Defending against a Denial-of-Service Attack on TCP,' In Proceedings of the 2nd International Workshop on Recent Advances in Intrusion Detection (RAID'99), 1999
  3. Werner Almesberger, 'Linux Network Traffic Control - Implementation Overview,' http://lcawww.epfl.ch/ Publications/Almesberger/TR98_037.ps, EPFL ICA, 1999
  4. I. Garber, 'Denial-of-Service Attacks Rip the Internet,' IEEE Computer, pp.12-17, April, 2000 https://doi.org/10.1109/MC.2000.839316
  5. David McDysan, QoS & Traffic Management in IP & ATM Networks, MacGraw-Hill, 2000
  6. Geoff Huston, Internet Performance Survival Guide - QoS Strategies for Multiservice Networks, Wiley Computer Publishing, 2000
  7. Werner Almesberger, 'Linux Network Traffic Control - Implementation Overview 2001,' EPFL ICA, 2001
  8. David Moore, Geoffrey M, Voelker and Stefan Savage, 'Interfering Internet Denali-of-Service Activity,' In Proceedings of the 10th USENIX Security Symposium, pp.9-22, August, 2001
  9. NIPC(National Infrastructure Protection Center), 'find ddos,' http://www.nipc.gov /warnings/advisories/2001/01-005.htm, 2001
  10. H. Jonathan Chao, Xiaolei Guo, Quality of Service Control in High-Speed Networks, Wiley-Interscience Publicaiton, 2002
  11. Packet Strom, 'DDoS Attack Tools,' http://packetstrom.widexs.n1/distributed/ indexdate.shtml, 2002
  12. Netherlabs, Gregory Maxwell, Remco van Mook, Martijn van Oosterhout, Paul B Schroeder, Jasper Spaans, 'Linun 2.4 Advanced Routing HOWTO,' TLDP
  13. Xilinx company, http://www.xilinx.com
  14. 이대붕, 송황준, '토큰 버킷 통신망 모델의 매개변수 재협상 과정을 이용한 효과적인 동영상 트래픽 전송기법에 관한 연구', 영상통신, 한국통신학회 2002 하계종합학술대회