• Proceedings of the Korean Information Science Society Conference
• /
• 2001.04a
• /
• pp.763-765
• /
• 2001

전통적인 네트워크기반 침입탐지시스템은 네트워크에 흐르는 모든 패킷을 수집하여 이를 가공, 분석, 보고하는 과정을 거친다. 하자만, 네트워크에서 과도한 트래픽의 발생이나 침입탐지시스템에 대한 의도적인 Dos(Denical of Service) 공격은 침입탐지시스템이 침입으로 간주될 수 있는 패킷을 처리하지 못하도록 함으로써 불법적인 접근을 얻어낼 수 있는 방법이 된다. 본 논문에서는 자체 개발한 내장형 리눅스 기반의 라우터에서 패킷의 필터링 작업을 수행함으로써 일차적으로 내부 네트워크와 네트워크 센서로의 트래픽을 줄이고, 이차적으로 정책기반 라우팅을 이용하여 네트워크 센서에게 직접 라우팅 하도록 함으로써 네트워크센서가 모든 트래픽을 수집하지 않고, 침입을 방지하고자 하는 정책에 기반하여 보내지는 패킷만을 수집, 분석 토록 함으로써 네트워크 센서에 집중되는 부하를 최소화하는 시스템의 구성을 제안한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.12 no.3
• /
• pp.39-47
• /
• 2002

This paper deals with study of a new framework for the traceback of distributed DoS(Denial of Service) attacks in the Internet, in which many sources flood "spoofed" IP packets towards a single victim. In our scheme, the destination host traces those anonymous packets' losses, and infers the logical end-to-end paths back towards the sources. This method is based on the fact that there is a strong correlation between packet losses when those packets traverse along a same route, and the simulation results show high probabilities of detecting the topology under a certain condition. Compared with previous approaches, our scheme has a number of distinct features: It can be performed in realtime or non-realtime, without any supports of routers or ISPs. Our results may be applied to the inference of physical topology and to support previous approaches.pproaches.