• 산업기술연구
• /
• 제22권B호
• /
• pp.147-153
• /
• 2002

It is very important to detect and remove original sources of DOS (Denial of Service) attacks or connection oriented/connectionless attacks. In this paper, we implement a traceback system that does not require the reaction of routers and administrators and does not need log data. We bring in a traceback server and traceback agents in each network and use sniffing and spoofing schemes. Finally, the traceback server detects attacking hosts using information transmitted from traceback agents.

• 정보처리학회논문지C
• /
• 제13C권1호
• /
• pp.11-18
• /
• 2006

최근의 해킹사고에서 침입자는 피해시스템에서 자신의 IP주소 노출을 피하기 위하여 피해시스템을 직접 공격하지 않고 Stepping stone(경유지)을 이용하여 경유지 우회 공격을 수행한다. 본 논문에서는 현재 네트워크 환경에서 Stepping stone을 이용한 경유지 우회 공격시 공격자의 근원지 주소를 추적하기 위한 알고리즘을 설계한다. 침입자 추적은 크게 두 가지 분류로 나뉘어 진다. 첫째는 IP Packet traceback, 둘째는 Connection traceback 이다. 본 논문에서는 Connection traceback에 공격을 다루며, 운영체제의 프로세스 구조를 이용하여 공격자 또는 Stepping stone을 구분하여 침입자의 위치를 추적한다.

• 제어로봇시스템학회:학술대회논문집
• /
• 제어로봇시스템학회 2003년도 ICCAS
• /
• pp.2101-2105
• /
• 2003

Recently the number of Internet users has very sharply increased, and the number of intrusions has also increased very much. Consequently, security products are being developed and adapted to prevent systems and networks from being hacked and intruded. Even if security products are adapted, however, hackers can still attack a system and get a special authorization because the security products cannot prevent a system and network from every instance of hacking and intrusion. Therefore, the researchers have focused on an active hacking prevention method, and they have tried to develop a traceback system that can find the real location of an attacker. At present, however, because of the characteristics of Internet - diversity, anonymity - the real-time traceback is very difficult. To over-come this problem the Network-based Real-Time Connection Traceback System (NRCTS) was proposed. But there is a security problem that the victim system can be hacked during the traceback. So, in this paper, we propose modified NRCTS with connection redirection technique. We call this traceback system as Connection Redirected Network-based Real-Time Connection Traceback System (CR-NRCTS).

• 한국콘텐츠학회:학술대회논문집
• /
• 한국콘텐츠학회 2003년도 춘계종합학술대회논문집
• /
• pp.227-230
• /
• 2003

본 논문에서는 크래커가 여러 곳의 시스템을 경유하여 침입을 하였을 경우, 크래커의 경로를 역추적하기 위한 효율적인 역추적 모델을 제안하고 구현하였다. 구현한 역추적 시스템은 역추적 서버 모델, 역추적 클라이언트 모델로 구성된다. 역추적 클라이언트는 에이젼트가 설치된 곳에서 침입관련 정보를 역추적 서버로 전송하여 크래커가 침입의 경유지로 어느 시스템을 이용하였는지를 판별한다. 구현한 역추적 시스템으로 클라이언트 에이젼트가 설치된 곳에서는 효율적인 역추적 경로를 추적할 수 있었다.

• 한국사이버테러정보전학회:학술대회논문집
• /
• 한국사이버테러정보전학회 2004년도 제1회 춘계학술발표대회
• /
• pp.233-239
• /
• 2004

본 논문에서는 현재 네트워크 환경에서 Stepping Stones을 이용한 경유지 우회 공격에 대한 침입자 추적 메커니즘을 제안한다. 침입자는 피해시스템에서 공격자의 IP주소 노출을 피하기 위하여 피해시스템을 직접 공격하지 않고 Stepping stone을 이용하여 경유지 우회 공격을 수행한다. 우리는 이와 같은 경유지 우회 공격 발생 시 공격자의 IP주소의 추적을 목적으로 한다. 침입자 추적은 크게 두 가지 분류로 나뉘어 진다. 첫째는 IP Packet traceback, 둘째는 Connection traceback 이다. 본 논문에서는 Connection traceback에 공격을 다루며, 운영체제의 프로세스 구조를 이용하여 공격자 또는 Stepping stone(경유지)을 구분하여 침입자의 위치를 추적한다.

• 인터넷정보학회논문지
• /
• 제6권1호
• /
• pp.13-25
• /
• 2005

해킹 공격자는 공격 근원지 IP 주소를 스푸핑하여 대량의 트래픽을 발생시켜 DDoS 공격을 수행하게 된다. 이에 대한 대응 기술로 제시된 IP 역추적 기술은 DDoS 공격의 근원지를 판별하고 공격 패킷이 네트워크상에서 전달된 경로를 재구성하는 기법이다. 기존의 PPM 기반 역추적 기법인 경우 패킷 내에 라우터 정보 또는 라우터 에지 경로 정보를 마킹하는 방식을 사용하였지만 효율적인 경로 역추적 기능을 제공하지 못하기 때문에 DDoS 공격에 능동적으로 대응하지 못하고 있다. 이에 본 연구에서는 DDoS 공격 패킷에 대해 TTL 기반의 개선된 패킷 마킹 기법을 제시하여 스푸핑된 IP 패킷의 근원지 정보를 재구성한 수 있음을 보였으며, 실험 결과 네트워크 부하를 줄이면서도 역추적 성능을 향상시킬 수 있었다.

• 인터넷정보학회논문지
• /
• 제5권1호
• /
• pp.85-97
• /
• 2004

근원지 IP 주소가 스푸핑된 패킷을 통해 많은 양의 DDoS 트래픽이 발생할 경우 서비스 거부 현상이 발생하게 된다. 이에 대한 대응 기술로 제시된 IP 역추적 기술은 DDoS 공격의 근원지를 판별하면서도 공격 패킷의 전달 경로를 재구성하여 역추적하는 기법이다. 기존의 기법은 크게 패킷을 중심으로한 마킹 방법과 역추적 메시지를 이용한 방법 등으로 나눌 수 있다. 기존의 기법은 현재의 인터넷 환경에서 적용하였을 경우 DDoS 공격에 대해 능동적으로 대응하지 못하고 네트워크 부하를 증가시킨다는 단점이 있다. 본 연구에서는 Pushback 기법을 적용하여 라우터를 중심으로 DDoS 공격 근원지를 역추적하는 ICMP traceback 기반 역추적 기법을 제시하였다.

• 정보보호학회논문지
• /
• 제13권4호
• /
• pp.3-11
• /
• 2003

네트워크 및 호스트의 자원을 낭비하는 DOS(Denial of Service) 및 여러 형태의 연결형/비연결형 공격은 전체 네트워크의 성능을 감소시키므로 공격 호스트를 검출하여 제거하는 일은 매우 중요한 요소이다. 공격 호스트를 검출하기 위한 효율적인 방법 중의 하나가 역추적시스템이나, 지금까지 구현된 역추적 시스템은 라우터의 동작 또는 로그 데이터 저장 및 분석에 따라 오버헤드를 야기 시키는 단점이 있다. 그러므로 본 논문에서는 라우터 및 관리자의 동작을 요구하지 않으며, 많은 양의 로그 데이터를 필요로 하지 않는 역추적 시스템을 제안하고 구현하였다. 구현된 시스템은 역추적 서버와 역추적 에이전트로 구성된다. 서버에서 스니핑과 스푸핑 기법을 이용하여 특정 패킷을 전송하면 각 네트워크에 존재하는 에이전트에서 그 패킷을 검출함으로서 근원지 호스트까지의 연결 경로 정보를 획득하여 역추적 서버로 하여금 공격 호스트를 검출할 수 있도록 한다.

• 정보보호학회논문지
• /
• 제20권3호
• /
• pp.31-41
• /
• 2010

현재의 인터넷 환경은 IP 기반 네트워크의 구조적인 특성상 송신지 주소를 위조하였을 경우 패킷의 근원지를 찾아내기 어렵다는 문제를 가지고 있다. DDoS 공격이 발생할 경우 또한 능동적인 방어를 하기는 어렵다. 이러한 네트워크상에서의 취약점과 공격에 대응하기 위한 역추적 기법들이 연구되어왔으나 대부분 IPv4 네트워크 환경만을 위한 기법들이며 전송된 역추적 데이터의 변조여부를 검증하기가 어렵다. IPv6 네트워크 환경에서의 역추적 기법들이 연구되어왔지만 아직 많은 연구와 발전이 필요하다. 본 논문에서 우리는 무결성을 제공하여 신뢰할 수 있는 IPv6 네트워크 환경에서의 IP 역추적 기법을 제안하며, 이 시스템을 시뮬레이션하고, 기존의 역추적 기법들과 오버헤드 및 기능성에 대해 비교한다.

• 한국콘텐츠학회:학술대회논문집
• /
• 한국콘텐츠학회 2004년도 춘계 종합학술대회 논문집
• /
• pp.307-310
• /
• 2004

컴퓨터와 네트워크의 보급이 일반화되면서 인터넷을 통한 정보 전달이 일상 생활처럼 되고있다. 또한 인터넷, 무선통신, 그리고 자료 교환에 대한 증가로 인해 다른 사용자와 접속하기 위한 방식은 빠르게 변화하고 있다. 그러나 기존의 침입 차단 시스템과 침입 탐지 시스템과 같은 시스템 외부방어 개념의 보안 대책은 전산망 내의 중요한 정보 및 자원을 보호함에 있어서 그 한계를 갖는다. 본 논문에서는 해킹으로 판단되는 침입에 대하여 라우터의 구조적 변경 없이 효율적으로 역추적 하기 위해서 ICMP 역추적 메시지(ICMP Traceback Message)를 이용한 ICW 기반의 역추적 시스템을 설계한다.