• 정보보호학회논문지
• /
• 제25권2호
• /
• pp.303-311
• /
• 2015

DNS 증폭 공격은 새로운 타입의 DDoS 공격의 일종이며 이러한 DNS 공격이 요즘 빈번히 발생하고 있는 실정이다. 기존 연구에서는 DNS 캐쉬의 트래픽의 증폭량을 탐지하여 다량의 패킷을 보내는 IP를 탐지하기도 하며, 질의 요청과 응답 패킷 사이즈의 크기 비율을 탐지하기도 하였다. 하지만, 이와 같은 DNS 패킷 트래픽 기반의 탐지방법은 주소체계 변화에 따른 패킷 사이즈를 감당할 수 없으며, 분산된 공격에도 취약하다. 또한, 실시간 환경에서의 분석이 불가능하였다. 하지만, 본 논문에서는 실제 ISP의 DNS 데이터를 중심으로 근실시간 통합 분석이 가능한 DNS 질의 응답 분석 시스템을 구축하여 효율적인 DNS 증폭공격 탐지 방법을 제시한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2016년도 춘계학술대회
• /
• pp.467-469
• /
• 2016

자동차 스마트키 시스템은 리모컨 형태의 전자식 키를 통해 자동차 문의 잠금 장치를 작동/해제하고, 버튼을 누르는 것으로 시동을 켜고 끌 수 있도록 해주는 기술이다. 스마트키 시스템이 사용자를 편리하게 해주는 것인 만큼 점차 자동차의 필수적인 옵션 중 하나로 꼽히고 있으나, 이에 대한 공격에 대해서는 아직 확실한 대응방안이 나오지 않고 있는 실정이다. 이에 본 논문에서는 스마트키의 공격 방식인 증폭 공격에 대한 분석을 통해 증폭 공격을 막을 수 있는 방안과 증폭 공격으로 인해 자동차의 문이 열렸을 경우 자동차 탈취를 막기 위한 방안을 제시하고자 한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제7권1호
• /
• pp.19-26
• /
• 2018

최근 CLDAP프로토콜을 사용하여 Microsoft Active Directory 정보를 제공하는 서버를 이용한 DDoS 증폭 공격이 점점 증가하고 있다. CLDAP는 네트워크에서 광범위한 디렉토리 정보를 접근하고 유지하도록 하는 개방형 표준 어플리케이션이기 때문에, 서버가 인터넷에 개방되어있는 특징을 가지고 있다. 이로인해, 공격자에 의해 증폭공격을 하기 위한 Reflector서버로 악용될 수 있다. 또한 이 공격은 기존의 UDP 기반 플루딩 공격보다 70배가량 증폭된 패킷으로 공격이 가능하며, 중소규모의 서버에 대한 서비스 차단을 할 수 있다. 따라서 본 논문에서는 CLDAP 서버를 활용하는 DDoS 증폭 공격을 감소할 수 있는 알고리즘을 제안하고 해당 CLDAP 서버 환경을 가상으로 구현하여, 해당 알고리즘에 대한 구현 및 실증을 진행한다. 이를 동해 공격 대상에 대한 가용성을 확보할 수 있도록 방안을 마련한다.

• 한국정보전자통신기술학회논문지
• /
• 제8권5호
• /
• pp.429-437
• /
• 2015

DDoS 공격은 주요 정부기관 및 기업의 서비스 시스템 및 웹사이트를 마비시키는 사이버 공격의 수단으로 지속적으로 이용되고 있다. 최근에는 증폭기법을 이용한 DDoS 공격이 지속적으로 발생하고 있는데 공격의 특징상 다수의 정상적으로 동작하고 있는 서버들에서 공격 트래픽이 발생하므로 정상 트래픽과의 구분이 어렵고 수백 Gbps 이상의 대규모의 공격 트래픽을 발생시킬 수 있으므로 탐지를 하더라도 방어를 하는 것이 매우 어려운 상황이다. 그리고 공격에 이용되는 프로토콜들 중에서 SSDP, SNMP등 일부 프로토콜들은 IoT 장비들에서 널리 사용되는 프로토콜이기 때문에 앞으로 공격에 이용될 수 있는 서버들도 크게 증가할 것으로 예측된다. 본 논문에서는 최근에 인터넷에 커다란 위협이 되고 있는 증폭 기법을 이용한 DDoS 공격들에 대해 이용되는 프로토콜별로 공격 기법을 분석한다. 또한, 공격에 효과적으로 대응하기 위해 공격을 방어하는 네트워크에 공격자가 존재하는 경우, 공격에 사용되는 서버가 존재하는 경우, 공격 대상이 존재하는 경우들로 나누어 각각의 상황에 취할 수 있는 대응 방법을 제안한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2021년도 춘계학술대회
• /
• pp.108-110
• /
• 2021

2015년부터 IoT 프로토콜을 사용한 공격이 지속적으로 보고되고 있다. 다양한 IoT 프로토콜 중 공격자는 SSDP(Simple Service Discovery Protocol)를 사용하여 DDoS 공격을 시도하고 있으며, 사이버 대피소 통계로 한국은 약 100만 개의 개방형 SSDP 서버를 보유하고 있다. 인터넷에 연결된 취약한 SSDP 서버는 50Gb 이상의 트래픽을 생성 할 수 있으며 공격 위험은 점진적으로 증가한다. 최근까지도 분산 서비스 거부 공격과 분산 반사 서비스 거부 공격이 보안 문제로 대두되고 있다. 따라서 본 연구의 목적은 기존 SSDP 프로토콜의 요청 패킷을 분석하여 증폭 공격을 식별하고 증폭 공격이 의심되는 경우 대응을 회피하여 다량의 응답 패킷 발생으로 인한 네트워크 부하를 방지하는 것이다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권3호
• /
• pp.135-142
• /
• 2017

DDoS (Distributed Denial of Service)는 대량의 좀비 PC를 이용하여 공격 대상 서버에 접근하여 자원을 고갈시켜 정상적인 사용자가 서버를 이용하지 못하게 하는 공격이다. DDoS 공격발생 사례가 꾸준히 증가하고 있고, 주요 공격대상은 IT 서비스, 금융권, 정부기관이기 때문에 DDoS를 탐지하는 것이 중요한 이슈로 떠오르고 있다. 본 논문에서는 DNS 서버를 이용하여 패킷을 증폭시키는 DNS DDoS 공격 즉, DNS Amplification 공격(이하 DNS 증폭 공격)을 Deep Learning (이하 딥 러닝)을 활용해 실시간으로 탐지하는 방법에 대해 소개한다. 기존 연구들의 한계점을 극복하기 위하여 실험망 환경의 데이터가 아닌 실 환경 데이터를 혼합하여 탐지 시스템을 학습하였다. 또한 이미지 인식에 주로 사용되는 Convolutional Neural Network (이하 CNN)을 이용하여 딥 러닝 모델을 구축하였다.

• 디지털융복합연구
• /
• 제13권10호
• /
• pp.279-285
• /
• 2015

본 논문은 DNS를 이용한 보안 위협에 대응하기 위한 웹 기반의 실시간 질의 분석 및 제어 시스템을 제안한다. 제안 시스템은 DMZ로 유입되는 DNS 질의를 미러링하여 데이터를 수집하고 분석한다. 그 결과로 DNS 보안 위협을 발견하면 방화벽 필터링 정보로 사용하며 DNS 질의의 통계정보를 실시간으로 웹 서비스한다. DNS특정 문제만을 해결하기 위한 기존의 시스템에 비해 제안 시스템은 DNS 스푸핑, DNS 플러딩 공격, DNS 증폭 공격 등 다양한 공격에 대응하며, 불법적인 DNS의 사용을 미리 차단함으로써 내부로부터 발생할 수 있는 불법적인 침해 사고를 예방한다. 웹으로 실시간 DNS 통계 정보를 제공하고 GeoIP를 이용한 위치정보와 Google API의 지도를 이용하여 DNS 질의 발생과 관련하여 위치 정보를 제공한다. 현재까지의 DNS 공격에 대한 경험과 지식이 부족하기 때문에 웹 서비스와의 보안 융합 시스템을 이용하여 구축한 데이터베이스는 DNS 관련 보안 침해 공격에 대한 연구에 있어 향후 중요한 자료로 사용될 수 있다.

• 융합정보논문지
• /
• 제10권12호
• /
• pp.22-30
• /
• 2020

정보통신기술의 발전에 따라 DDoS와 DRDoS은 지속적으로 보안상 이슈가 되고, 고도화된 기법으로 점차 발전하고 있다. 최근에는 정상 서버의 프로토콜을 이용하여 반사 서버로 악용하는 DRDoS 기법으로 IT 기업들을 위협하고 있다. 반사 트래픽은 정상적인 서버에서 발생되는 트래픽으로 보안장비에서 판별하기가 어렵고 실제 사례에서도 최대 Tbps 까지 증폭되었다. 본 논문에서는 DRDoS 공격에서 사용되는 DNS증폭과 Memcached증폭을 비교 분석한 뒤 공격의 효과를 감소시킬 수 있는 대응방안을 제안한다. 반사 트래픽으로 사용되는 프로토콜은 TCP와 UDP, 그리고 NTP, DNS, Memcached등이 존재한다. 반사 트래픽으로 이용되는 프로토콜 중에서 반사 트래픽의 응답크기가 높은 DNS 프로토콜과 Memcached 프로토콜을 비교분석결과, Memcached 프로토콜은 DNS 프로토콜보다 ±21% 증폭된다. 대응방안은 Memcached 프로토콜의 메모리 초기화 명령어를 사용하여 공격의 효과를 감소시킬 수 있다. 향후 연구에서는 보안에 취약한 다양한 서버들을 보안 네트워크를 통해 공유하여 원천적 차단효과를 전망할 수 있다.

• 융합정보논문지
• /
• 제7권2호
• /
• pp.1-9
• /
• 2017

최근에 증폭기법을 이용한 DDoS 공격은 정상적인 서버들에서 정상 트래픽과의 구분을 어렵게 하고 공격 탐지를 하더라도 감지가 어려운 특성을 가지고 있다. SSDP 프로토콜은 IoT 장비들에서 널리 사용되는 일반적인 프로토콜이기 때문에 DDoS 증폭 공격으로 활용되고 있는 형편이다. 본 연구에서는 SSDP의 서비스 확인 메시지 중계의 약점을 이용한 반사체공격기법을 분석하고 이러한 공격에 대하여 각 디바이스의 Mac 주소를 관리하여 공격을 감지하고 방어하는 기술적 제안과 홈 IoT 관리 체계를 제안하였다. 가상 환경 속에서 실험적 공격을 수행하여 가상공격의 효과에 대하여 정리 분석하였으며 제안 기술로 공격을 방지하도록 검증하였으며 또한 홈 IoT의 보안관제 체제를 제안하였다.

• 한국정보통신학회논문지
• /
• 제24권12호
• /
• pp.1670-1675
• /
• 2020

본 연구에서는 DRDoS 공격에 대한 효과적인 네트워크 기반 대응책을 수립하는데 필요한 기초 자료를 제공하고자, DRDoS의 네트워크 기반 특징을 식별하고 이에 대한 확률 및 통계 기법을 적용한 새로운 'DRDoS 공격 다단계 탐지기법'을 제안하고자 한다. 제안된 기법은 DRDoS의 특징인 반사 서버의 증폭에 의한 네트워크 대역폭에서 무제한 경쟁으로 정상적인 트래픽이 무분별하게 차단될 수 있는 한계를 제거하고자 'Server to Server' 및 이에 대한 'Outbound 세션 증적' 여부를 비교하여 정확한 DRDoS 식별 및 탐지가 가능하고 이에 대한 트래픽에 대해서만 통계 및 확률적 임계값을 적용하기에, 네트워크 기반 정보보호 제품은 이를 활용하여 완벽하게 DRDoS 공격 프레임을 제거가 가능하다. 시험을 통해 제안한 기법이 DRDoS 공격에 대한 식별 및 탐지 정확성을 높이고 희생자 서버의 서비스 가용성을 확보함을 확인하였다. 따라서 본 연구결과는 DRDoS 공격 식별 및 대응에 크게 기여할 수 있을 것으로 기대한다.