NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム及びその制御方法
【課題】DDOS攻撃防御装備のためのNATにおいて正常ユーザーの遮断を防止するシステムを提供する。
【解決手段】同一の外部IPアドレスを有しているNATから構成された網において同一のIPアドレスを有する攻撃者PCと正常ユーザーPCとを区分するシステムであって、攻撃者はブラックリストルールテーブルにより遮断し、正常ユーザーのトラフィックはウェブサーバーホストアドレスを仮想IPアドレスに変更し、ブラックリストルールテーブルにより遮断されずに通過させ、正常ユーザーのウェブサービスを可能にする。
【解決手段】同一の外部IPアドレスを有しているNATから構成された網において同一のIPアドレスを有する攻撃者PCと正常ユーザーPCとを区分するシステムであって、攻撃者はブラックリストルールテーブルにより遮断し、正常ユーザーのトラフィックはウェブサーバーホストアドレスを仮想IPアドレスに変更し、ブラックリストルールテーブルにより遮断されずに通過させ、正常ユーザーのウェブサービスを可能にする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、NAT技術が適用されたネットワークにおいて、攻撃者がウェブサーバーに過度なTCPセッションの接続要請やウェブページの要請などの過度なトラフィックを送ることで正常ユーザーの円滑なウェブサービスの利用を不可能にするDDOS攻撃を遮断し、また、攻撃者と同一のIPアドレスを使用する正常ユーザーとを分別し、正常ユーザーがウェブサービスを正常的に利用できるようにするNATを支援するDDOS保安装備に関するものである。
【背景技術】
【0002】
一般的に、NAT(Network Address Translation)においては、現在、インターネットのアドレス体系は32ビットであり、インターネットの公認IPアドレスの個数は限定されている。
【0003】
NAT技術を使用すると、1つの公認IPアドレスを通じて、内部ネットワークの複数台のPCが同時に、同一の外部IPアドレスを使用することができる。
【0004】
また、NAT技術は、外部の攻撃からユーザーを保護する手段として活用することができ、一般的なネットワーク網において広く使用される技術である。
【0005】
ここで、攻撃PCがNATを使用するネットワーク網にある場合、同一の公認IPアドレスを使用するNAT網にある全ての正常ユーザーは、一台の攻撃PCのIPアドレス遮断により、インターネットサービスを受けることができない。
【0006】
現在、広く使用されるDDOS装備はウェブサーバーを保護し、また、過度なネットワークトラフィックを防止するために、IPアドレスベースの遮断方法を使用している。
【0007】
ところが、従来の保安装備は、ネットワークから設定したトラフィック閾値以上のTCP接続が検知されると、該当のIPアドレスを一定時間遮断するので、同一のIPアドレスを使用するユーザーPCもネットワークサービスを使用することができない。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、このような問題点を解決するためのもので、その目的は、DDOS(Distribute Denial of Service)攻撃として検知されるIPアドレスをブラックリストに登録し、攻撃トラフィックを遮断し、また、NAT網において同一のIPアドレスを使用する正常ユーザーは遮断されることなくウェブサービスを利用できるようにするための技術である。
【0009】
即ち、DDOS攻撃を検知する保安装備が、閾値以上の過度なトラフィックを検知する場合、該当のIPアドレスをブラックリストに登録するので、ブラックリストに登録された該当のIPアドレスを遮断する場合、NAT網にある全ての正常ユーザーも遮断される問題点を解決することを目的とする。
【0010】
したがって、本発明のウェブサービスへの正常ユーザーの遮断を防止するためのシステムには、パケット送受信処理器、ブラックリストルールテーブル、TCP SYNプロキシ処理器、URL Redirect処理装置、仮想IP復元装置、仮想IP変換装置が具備される。
【課題を解決するための手段】
【0011】
上記のような目的を達成するための本発明は、クライアントからデータを受信するパケット受信部と、受信したデータをクライアントに伝送するパケット送信部と、前記パケット受信部からパケット情報を受信し、パケット送信部にデータを伝送するNATデータ処理部30とを含み、前記NATデータ処理部30には、ブラックリストルールテーブルに貯蔵されたパケット情報のデータとマッチングされるか否かを判別し、マッチングされる該当のクライアントのTCPセッション接続以外のパケットを遮断させるブラックリストルールテーブルマッチング部(BLACK LIST RULE TABLE MATCHER)31と、クライアントが要請するデータが該当のウェブサーバーのウェブページ要請パケットである場合に、該当のウェブサーバーの仮想IPアドレスに変換された応答データと、クライアントがウェブサーバーに対するセッション接続を切断して、仮想IPアドレスを通じて接続するように指示するデータとを該当のクライアント側に転送させるURL Redirect処理部(URL Redirect PROCESSOR)33と、が含まれることを特徴とする、NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステムを提供する。
【0012】
ここで、NATデータ処理部30には、クライアントが要請するデータが、TCPセッション接続パケットである場合に、ウェブサーバーの代わりに、TCP SYN−ACK応答を生成して転送するTCP SYNプロキシ処理部(TCP SYN PROXY PROCESSOR)32と、クライアントからパケットを受信し、仮想ウェブサーバーIPアドレスを実際ウェブサーバーIPアドレスに復元し、実際ウェブサーバー側にパケットを伝送させる仮想IP復元部(VIRTUAL IP RESTORATOR)35と、クライアントの要請に応じてウェブサーバーから受信したパケットに対して、ウェブサーバーからクライアントに転送されたウェブサーバーの仮想IPアドレスに変換し、パケット送信を行う仮想IP変換部(VIRTUAL IP TRANSLATOR)34とが含まれる。前記URL Redirect処理部33は、仮想IPアドレスを通じて接続させるURL Moved又はURL Redirect HTTPデータを含み、パケット送信部23を通じて該当のクライアント側に転送し、また、前記ブラックリストルールテーブルマッチング部31のブラックリストルールテーブルには、攻撃者クライアントのソースIPデータ、ウェブサーバーのあて先IPデータ、ウェブサーバーのあて先ポートデータが含まれる。
【0013】
また、本発明は、クライアントとウェブサーバーとの間に位置し、クライアントからウェブサーバーの情報要請に対するデータを受信し、ブラックリストルールテーブルに貯蔵されたパケット情報とマッチングされるか否かを判別し、マッチングすると判別された該当のクライアントのTCPセッション接続以外のパケットは遮断し、また、該当のウェブサーバーの仮想IP情報データと現在のセッション接続を切るように指示するデータを、クライアント側に伝送し、また、該当のクライアント側から該当のウェブサーバーに対する仮想IP情報を通じてウェブサーバーの情報を要請した場合には、正常ユーザーとして判別して処理することを特徴とする、NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステムを提供することができる。
【0014】
さらに、本発明は、クライアント側からウェブサーバーの情報を要請するデータを受信するウェブサーバー情報要請受信段階(S01)と、NATデータ処理部30のブラックリストルールテーブルマッチング部31を通じてクライアントから転送されたデータとブラックリストルールテーブルのデータとがマッチングするか否かを判別するブラックリストマッチング判別段階(S02)と、前記ブラックリストマッチング判別段階(S02)によって該当のクライアントの情報がブラックリストルールテーブルのデータとマッチングされる場合には、該当のクライアントのTCPセッション接続以外のパケットは遮断させるマッチング遮断段階(S03)と、前記マッチング遮断段階(S03)によってマッチングされたクライアントのパケットがTCPセッション接続パケットである場合、TCP SYNプロキシ処理部32が、ウェブサーバーの代わりにTCP SYN−ACK応答を生成して、パケットを転送させる応答データ伝送段階(S04)と、前記マッチング遮断段階(S03)によってマッチングされたクライアントのパケットが、ウェブページ要請パケットである場合、URL Redirect処理部33を通じて該当のウェブサーバーに対する仮想IP情報に変換された情報データと、ウェブページを再要請するデータと、現在のセッション接続を切るように指示するデータとが含まれた信号を、該当のクライアント側に伝送するURL Redirect処理段階(S05)と、が含まれることを特徴とする、NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステムを制御するための制御方法を提供することができる。
【0015】
ここで、前記URL Redirect処理段階(S05)によって、該当のクライアント側から該当のウェブサーバーに対する仮想IPデータが受信された場合には、正常クライアントとして判別し、仮想IP復元部35を通じて該当のウェブサーバーに対する仮想IP情報が実際IP情報に復元され、該当のウェブサーバーに情報要請データを伝送し、また、仮想IP変換部34を通じて該当のウェブサーバーに対する仮想IP情報と、クライアントが要請した該当のウェブサーバー情報データとを転送する。
【発明の効果】
【0016】
上記のように構成される本発明は、DDOS防御と関連して、ウェブサーバーに閾値以上の過度なトラフィックが検知される場合、該当のIPアドレスをブラックリストに登録し、そのIPアドレスの全てのトラフィックを遮断し、また、NAT網において、同一の外部IPアドレスを使用するユーザーを一次的に遮断し、攻撃トラフィック以外の正常ユーザーのトラフィックのみを許容する。特に、本発明は、このような同一のIPアドレスを使用する攻撃者と正常ユーザーとを区分することによって、攻撃者トラフィックは遮断し、正常ユーザーはウェブサービスを使用できるようにする。
【図面の簡単な説明】
【0017】
【図1】本発明による正常ユーザーの遮断を防止するためのシステムを示す構成図である。
【図2】本発明による正常ユーザーの遮断を防止するためのシステムのブラックリストルールテーブルマッチング部による処理過程を示す例示図である。
【図3】本発明による正常ユーザーの遮断を防止するためのシステムによる正常ユーザーの遮断を防止するためのパケット処理を示す例示図である。
【図4】本発明による正常ユーザーの遮断を防止するためのシステムに関するパケット処理の段階別の処理過程を示す例示図である。
【図5】本発明による正常ユーザーの遮断を防止するためのシステムのブラックリストルールテーブルを示す例示図である。
【図6】本発明による正常ユーザーの遮断を防止するためのシステムの制御方法を示すフローチャートである。
【発明を実施するための形態】
【0018】
以下、添付の図面を参照して、本発明の好適な実施例を詳細に説明する。
【0019】
即ち、本発明によるDDOS攻撃防御装備のためのNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム(NAT−ENABLED SYSTEM TO PREVENT THEBLOCKING OF A NORMAL CLIENT’S WEB SERVICE USING NAT FROM A DDOS DEFENSE SYSTEM)20は、図1乃至図6に示すように、クライアントからパケットを受信するパケット受信部22、25と、受信したデータをクライアントに伝送するパケット送信部23、24と、前記パケット受信部からパケット情報を受信し、パケット送信部にデータを伝送するNATデータ処理部30と、を含む。
【0020】
また、前記NATデータ処理部30には、ブラックリストルールテーブルに貯蔵されたパケット情報のデータとマッチングされるか否かを判別し、マッチングされる該当のクライアントとのTCPセッション接続以外のパケットを切るように指示するブラックリストルールテーブルマッチング部31と、前記ブラックリストルールテーブルマッチング部31を通じてマッチングすると判別された該当のクライアントが要請したデータが、TCPセッション接続パケットである場合に、ウェブサーバーの代わりにTCP SYN−ACK応答を生成して転送させるTCP SYNプロキシ処理部32と、が含まれる。
【0021】
また、図5に示すように、ブラックリストルールテーブルマッチング部31のブラックリストルールテーブルには、異常な接続要請及び過度なウェブページ要請のトラフィックが検知されるクライアントを、攻撃者として分類し判別して、該当の攻撃者に対する情報が貯蔵される。
【0022】
したがって、該当のクライアントが攻撃者として判別される場合には、TCPセッション接続パケットを遮断し、ウェブサーバーを保護することができる。
【0023】
また、このように攻撃者として判別される場合には、TCP SYNプロキシ処理部32がウェブサーバーの代わりに、TCP SYN−ACKプロセシングを行うように指示するので、該当のウェブサーバーを保護することができる。
【0024】
また、前記NATデータ処理部30には、該当のクライアントが要請するデータが、該当のウェブサーバーのウェブページ要請パケットである場合に、該当のウェブサーバーの仮想IPアドレスに変換された応答データと、クライアントが該当のウェブサーバーに対する実際ウェブサーバーのセッション接続を切るようにし、仮想IPアドレスを通じて接続させるURL Redirect又はURL Moved HTTPデータとを含み、パケット送信部23を通じて該当のクライアント側に転送させるURL Redirect処理部33が、さらに具備される。
【0025】
特に、このようなURL Redirect処理部33によって、実際ウェブサーバーに対する情報としてデータが処理されるのではなく、仮想IPアドレスが含まれたデータとして処理されるように送受信されるので、該当のウェブサーバーを攻撃者に露出させずに保護することができる。
【0026】
また、前記NATデータ処理部30には、このように仮想IPアドレスと、実際IPアドレスのデータ変換のために、TCP SYN−ACK応答を行うクライアントからデータを受信し、仮想ウェブサーバーIPアドレスを実際ウェブサーバーIPアドレスに復元し、実際ウェブサーバー側にデータを伝送させる仮想IP復元部35と、クライアントの要請に応じてウェブサーバーから受信したパケットに対して、クライアントに転送された該当のウェブサーバーの仮想IPアドレスに変換し、パケット送信を行う仮想IP変換部34と、が含まれる。
【0027】
したがって、もし、ブラックリストルールテーブルとのマッチング過程で攻撃者として判別されたクライアントとしても、正常ユーザーである場合、ブラックリストルールテーブルによるブラックリストのマッチング条件にマッチングされないので遮断されない。反面、攻撃者は、ブラックリストルールテーブルのマッチング条件により遮断され、該当のウェブサーバーを保護することができる。また、TCP SYNプロキシ処理部32、URL Redirect処理部33、仮想IP変換部34、仮想IP復元部35などを通じて正常クライアントであるか否かを判別するのでウェブサーバーを保護しながら、該当の正常ユーザーのクライアントが該当のウェブサーバーを安定的に利用することができる。
【0028】
このような、本発明によるDDOS攻撃防御装備のためのNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム20において、前記ブラックリストルールテーブルマッチング部31のブラックリストルールテーブルには、攻撃者クライアントのソースIPデータ、ウェブサーバーのあて先IPデータ、ウェブサーバーのあて先ポートデータが含まれる。
【0029】
また、本発明によるDOS、DDOS攻撃のように、攻撃者クライアントによる異常な接続要請及び過度なウェブページ要請のトラフィックが受信される際、攻撃防御装備のためのNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム20を制御するための制御方法において、まず、クライアント側からウェブサーバーの情報要請に対するデータを受信するウェブサーバー情報要請受信段階(S01)が行われる。このようなウェブサーバー情報要請受信段階において、DOS、DDOS攻撃のように、異常な接続要請及び過度なウェブページ要請のトラフィックを送るクライアントである場合には、攻撃者として分類し、ブラックリストルールテーブルに該当の情報を貯蔵する。したがって、攻撃者であるか否かをマッチングにより判別する。
【0030】
即ち、NATデータ処理部30のブラックリストルールテーブルマッチング部31によって、クライアントから転送されたデータと、ブラックリストルールテーブルのデータとがマッチングするか否かを判別するブラックリストマッチング判別段階(S02)が行われる。
【0031】
したがって、前記ブラックリストマッチング判別段階(S02)によって該当のクライアントの情報がブラックリストルールテーブルのデータとマッチングされる場合には、該当のクライアントに対するTCPセッション接続以外のパケットは遮断させるマッチング遮断段階(S03)が行われるので、該当のウェブサーバーを保護することができる。
【0032】
また、前記マッチング遮断段階(S03)によってマッチングされたクライアントのパケットがTCPセッション接続パケットである場合、TCP SYNプロキシ処理部32がウェブサーバーの代わりにTCP SYN−ACK応答を生成して、パケット転送させる応答データ伝送段階(S04)が行われる。したがって、正常クライアントであるか否かを判別する過程を進行することができる。
【0033】
また、前記マッチング遮断段階(S03)によってマッチングされたクライアントのパケットがウェブページ要請パケットである場合、URL Redirect処理部33を通じて該当のウェブサーバーに対する仮想IP情報に変換された情報データと、ウェブページを再要請するデータと、現在のセッション接続を切るように指示するデータとが含まれた信号を、該当のクライアント側に伝送するURL Redirect処理段階(S05)が行われるので、該当のウェブサーバーに接続しようとするクライアントが正常クライアントであるか否かを判別することができる。
【0034】
また、このような、前記URL Redirect処理段階(S05)によって該当のクライアント側から、該当のウェブサーバーに対する仮想IPデータが含まれたデータが受信された場合には、正常クライアントとして判別し、仮想IP復元部35を通じて該当のウェブサーバーに対する仮想IP情報から実際IP情報に復元させ、該当のウェブサーバーに情報を要請するデータを伝送し、また、仮想IP変換部34を通じて該当のウェブサーバーに対する仮想IP情報と、クライアントが要請した該当のウェブサーバーの情報データとを該当のクライアント側に転送させる。
【0035】
以下、本発明による詳細な構成について添付の図面を参照し説明する。ウェブサービスへの正常ユーザーの遮断を防止するためのシステム20は、ユーザー(正常ユーザー11、攻撃者12)とウェブサーバー13との間に位置して、図1のように、パケット受信部22、25と、パケット送信部23、24と、また、これらを連結するNATデータ処理部30と、で構成される。
【0036】
また、このようなNATデータ処理部30(NAT DATA PROCESSOR)は、ブラックリストルールテーブルマッチング部(BLACK LIST RULE TABLE MATCHER)31と、TCP SYNプロキシ処理部(TCP SYN PROXY PROCESSOR)32と、URL Redirect処理部33(URL Redirect PROCESSOR)と、サーバーのIPアドレスを仮想IPアドレスに変換するための仮想IP変換部(VIRTUAL IP TRANSLATOR)34と、仮想IPアドレスを実際IPアドレスに復元するための仮想IP復元部(VIRTUAL IP RESTORATOR)35と、で構成される。
【0037】
ここで、パケット受信部22は、正常ユーザー11、攻撃者12などのパケット情報をネットワークから受信し、NATデータ処理部30に、その受信されたパケットデートを伝送して、NATデータ処理部30では転送されたデータを受信し、ブラックリストルールテーブルマッチング部31によって攻撃者の情報であるか否かをマッチング過程を通じて検査する。
【0038】
したがって、ブラックリストルールテーブルマッチング部31によって攻撃者であるか否かを判別し、攻撃者として判別する場合には、その攻撃者として判別されたパケットを直ちに遮断させる。即ち、正常のTCPセッション接続以外の攻撃者の接続として判別されると、直ちに、その攻撃者として判別されたパケットを遮断させる。
【0039】
反面、攻撃者の情報以外の正常ユーザーの情報である場合、ブラックリストルールテーブルマッチング部31でのマッチング判別処理過程において、正常TCPセッション接続パケットとして判別された場合には、図4のように、TCP SYNプロキシ処理部32を通じてウェブサーバー13の代わりにTCP SYN−ACK応答を生成して、パケット送信部23を通じてパケットをユーザー側に送る。
【0040】
また、ユーザーから転送されたデータ情報がHTTPウェブページ要請パケットである場合には、URL Redirect処理部33を通じてURL Redirectパケットを生成して、パケット送信装置に伝送する。HTTPウェブページ要請が仮想ウェブサーバーアドレスである場合、仮想IP復元部35を通じて実際ウェブサーバー13のIPアドレスに変換し、パケット送信部24を通じてウェブサーバー13にパケットを伝送する。また、ウェブサーバー13からパケット受信部25を通じて受信したパケットは、正常ユーザー11に送信された仮想IPアドレスに、仮想IP変換部34を通じて変換し、パケット送信部23を通じてユーザーに転送し、DDOS攻撃防御装備のためのNAT網用パケットデータ処理装備を構成する。
【0041】
続いて、本発明によるDDOS攻撃防御装備のためのNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム20による攻撃者防御の過程について説明する。
【0042】
即ち、図2のウェブサービスの正常ユーザーの遮断を防止するためのシステム20は、DDOS防御用NAT処理装備の構成に示すように、検知エンジンを通じて攻撃者の異常な接続要請、及びウェブサーバーに対する過度なウェブページ要請トラフィックが検知される場合、ブラックリストルールテーブルマッチング部31のデータベースに、NAT及びウェブサーバーに対する情報が貯蔵させる。この際、NAT公認IPアドレス(10.10.10.1)、ウェブサーバーIPアドレス(211.222.195.5)、ウェブサーバーポート80をブラックリストルールテーブルマッチング部31のデータベースのテーブルに登録させる。
【0043】
DDOS攻撃防御用NAT処理装備を通じて受信されるパケットをクライアントIPアドレス(10.10.10.1)、ウェブサーバーIPアドレス(211.222.195.5)、ウェブサーバーポート80である場合とそれぞれ分析し、ブラックリストルールテーブルマッチング部31のデータテーブルとマッチングされ、攻撃者として判別されると、ブラックリストルールテーブルマッチング部31ではTCPセッション接続以外の攻撃者パケットは、直ちに遮断させるように制御信号を他の制御部材に伝送する。
【0044】
また、TCPセッション接続に関連するパケットは、TCP SYNプロキシ処理部32に転送される。ここで、TCP SYNプロキシ処理部32は、ウェブサーバー13の代わりにTCP SYNセッション接続要請に対するSYN−ACK応答を行う装置として作動される。即ち、このようなTCP SYNプロキシ処理部32には異常なTCP接続要請をウェブサーバー13に伝達せずに遮断するのに利用されるプロキシ装置が適用される。
【0045】
このようなTCP SYNプロキシ処理部32を通じてウェブサーバー13へのSYNフラッディング攻撃(Syn Flooding Attack)やセッション接続要請による攻撃を全て遮断することができる。SYNフラッディングとは、TCPセッション接続要請によってサーバーがSYNパケットを受信する際、メモリーを割り当てるので、SYNフラッディング攻撃が発生されると多量のSYNパケットを受信して、過大なメモリー容量を使用することで、正常的なTCP接続処理を不可能にする攻撃方法である。したがって、このような本発明によるブラックリストルールテーブルマッチング部31及びTCP SYNプロキシ処理部32によって、攻撃者として判別されるデータをウェブサーバー13に伝達せずに遮断することができるので、正常的なユーザーの情報を保護することができる。
【0046】
続いて、本発明によるDDOS攻撃防御装備のためのNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステムにおいて、正常ユーザーに対する処理過程について説明する。
【0047】
即ち、図3に示すように、クライアントが“GET/index.Html HTTP 1.1”のようにウェブページ要請を行った場合、現在のTCPセッション接続を切断して、仮想のホストを通じて接続するようにウェブサーバーのホストアドレスをwww.naver1.comに変更し、正常ユーザーであるかを確認するための応答パケットをユーザー側に送る。
【0048】
ここで、URL Redirect処理部33では、現在のセッション接続を切るように、クライアントにTCPヘッダーにFIN、PUSH、ACK=1に設定し、HTTPプロトコル標準であるURL Moved又はURL Redirect301/302コードとロケーション:www.naver1.comの応答パケットを生成して送る。TCP FIN、PUSH、ACK=1に設定し、クライアントに現在のセッション接続を切断して、新しいTCPセッション要請を行うように指示するためである。HTTP URL Redirectは、クライアントに、現在、要請したページのアドレスが変更されたこと、及びロケーションフィールドに明示されたアドレスに再要請することを知らせるためのHTTP応答パケットである。また、下記のようにパケットを生成して構成することができる。
【0049】
(a) Interne Protocol、src:10.10.10.1、dst:211.222.195.5
(b) Transmission Control Protocol:dst_port:http(80)、FIN:1、PUSH:1、ACK:1
(c) Hypertext Transfer Protocol:
HTTP1.1 301 Moved Permanently
Content−Length:0
Location:http://www.naver1.com
Connection:close
また、上記の(a)はIPヘッダーに関するもので、ソースとあて先IPアドレスを含んでいる構成を示したものであり、(b)はソースとあて先のポート、TCPフラッグを含んでいることを示したものである。そして(C)はHTTPヘッダー情報を含んでHTTP 1.1 301状態のコードでURL Moved/Redirectされたという応答コードに関するもので、ロケーションフィールドは変更されたサーバーのURLアドレスを表示する。
【0050】
前記のような実施例において、パケット情報はアドレスがwww.naver.comからwww.naver1.comに変更されたことを知らせるためのHTTPパケット情報を伝送する。ユーザーA(10.10.10.1)が仮想のウェブサーバー(211.222.195.6:www.naver1.com:80)にウェブページを要請する際、正常ユーザー11である場合には、ブラックリストルールテーブルマッチング部31でマッチングされないので遮断されない。
【0051】
そして、仮想IP復元部35では仮想のウェブサーバーアドレス(211.222.195.6:www.naver1.com:80)を、実際のサーバーIPアドレス(211.222.195.5:www.naver1.com:80)に復元し、ウェブサーバーAに伝送する。
【0052】
続いて、ウェブサーバーAから受信されるパケットは、仮想IP変換部34を通じてウェブサーバーAからユーザーAに送るソースアドレスを仮想IPアドレス(211.222.195.6)に変換し、ユーザーAに伝送する。これはウェブサーバーAから受信されるパケットがブラックリストルールテーブルマッチング部31に貯蔵された情報とマッチングされることなく正常ユーザー11として判別し、ブラックリストルールテーブルマッチング部31を通じて遮断されることを防止するための過程である。
【0053】
一般的に使用する大部分のDDOS攻撃ツールの方法は、サーバーに対する応答をしなくて、単方向に多量のトラフィックをサーバーに送って攻撃する方法を使用する。したがって、攻撃者PC(10.10.10.1)12によるウェブページ要請の場合には、図2の3番段階(3.ACK)のパケットに対する応答をせずにウェブページ要請のみを行う。
【0054】
したがって、ウェブページ要請パケットであるウェブサーバー(211.222.195.5:80)“GET/index.htmlHTTP1.1“と、攻撃者PC(10.10.10.1)情報と、ウェブサーバー(211.222.195.5:80)に対する情報とを要請するパケットを受信すると、ブラックリストルールテーブルマッチング部31ではこのような攻撃者による接近を遮断させる。
【0055】
反面、ブラックリストルールテーブルマッチング部31のデータベースのテーブルに攻撃者リストとして登録されていないとともに、新しいACKに対する要請に対して仮想ウェブサーバーの情報でもってウェブページ要請を行う場合には、ブラックリストルールテーブルマッチング部31では正常ユーザーとして分類し、したがって、仮想IP復元35及び仮想IP変換部34を通じて正常ユーザー11側に該当のウェブサーバーに対する情報を伝送する。
【0056】
したがって、NAT網において同一のIPアドレスを使用するユーザーAと攻撃者PCとを区分し、同一のIPアドレスを使用する場合にも、要請される要請情報によってマッチングテーブルから判別することで、攻撃者PCは遮断させ、正常ユーザーに対するインターネットサービスの遮断を防止させて正常使用を可能にする。
【0057】
以上では本発明の実施例に挙げて詳細に説明してきたが、これらの実施例は、本明の属する技術分野における通常の知識を有する者が、本発明を容易に実施できるように記載したもので、上記の実施例により本発明の技術思想が制限されることはない。
【符号の説明】
【0058】
11 正常ユーザー
12 攻撃者
13 ウェブサーバー
20 正常ユーザーの遮断を防止するためのシステム
22、25 パケット受信部
23、24 パケット送信部
30 NATデータ処理部
31 ブラックリストルールテーブルマッチング部
32 TCP SYNプロキシ処理部
33 URL Redirect処理部
34 仮想IP変換部
35 仮想IP復元部
【技術分野】
【0001】
本発明は、NAT技術が適用されたネットワークにおいて、攻撃者がウェブサーバーに過度なTCPセッションの接続要請やウェブページの要請などの過度なトラフィックを送ることで正常ユーザーの円滑なウェブサービスの利用を不可能にするDDOS攻撃を遮断し、また、攻撃者と同一のIPアドレスを使用する正常ユーザーとを分別し、正常ユーザーがウェブサービスを正常的に利用できるようにするNATを支援するDDOS保安装備に関するものである。
【背景技術】
【0002】
一般的に、NAT(Network Address Translation)においては、現在、インターネットのアドレス体系は32ビットであり、インターネットの公認IPアドレスの個数は限定されている。
【0003】
NAT技術を使用すると、1つの公認IPアドレスを通じて、内部ネットワークの複数台のPCが同時に、同一の外部IPアドレスを使用することができる。
【0004】
また、NAT技術は、外部の攻撃からユーザーを保護する手段として活用することができ、一般的なネットワーク網において広く使用される技術である。
【0005】
ここで、攻撃PCがNATを使用するネットワーク網にある場合、同一の公認IPアドレスを使用するNAT網にある全ての正常ユーザーは、一台の攻撃PCのIPアドレス遮断により、インターネットサービスを受けることができない。
【0006】
現在、広く使用されるDDOS装備はウェブサーバーを保護し、また、過度なネットワークトラフィックを防止するために、IPアドレスベースの遮断方法を使用している。
【0007】
ところが、従来の保安装備は、ネットワークから設定したトラフィック閾値以上のTCP接続が検知されると、該当のIPアドレスを一定時間遮断するので、同一のIPアドレスを使用するユーザーPCもネットワークサービスを使用することができない。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、このような問題点を解決するためのもので、その目的は、DDOS(Distribute Denial of Service)攻撃として検知されるIPアドレスをブラックリストに登録し、攻撃トラフィックを遮断し、また、NAT網において同一のIPアドレスを使用する正常ユーザーは遮断されることなくウェブサービスを利用できるようにするための技術である。
【0009】
即ち、DDOS攻撃を検知する保安装備が、閾値以上の過度なトラフィックを検知する場合、該当のIPアドレスをブラックリストに登録するので、ブラックリストに登録された該当のIPアドレスを遮断する場合、NAT網にある全ての正常ユーザーも遮断される問題点を解決することを目的とする。
【0010】
したがって、本発明のウェブサービスへの正常ユーザーの遮断を防止するためのシステムには、パケット送受信処理器、ブラックリストルールテーブル、TCP SYNプロキシ処理器、URL Redirect処理装置、仮想IP復元装置、仮想IP変換装置が具備される。
【課題を解決するための手段】
【0011】
上記のような目的を達成するための本発明は、クライアントからデータを受信するパケット受信部と、受信したデータをクライアントに伝送するパケット送信部と、前記パケット受信部からパケット情報を受信し、パケット送信部にデータを伝送するNATデータ処理部30とを含み、前記NATデータ処理部30には、ブラックリストルールテーブルに貯蔵されたパケット情報のデータとマッチングされるか否かを判別し、マッチングされる該当のクライアントのTCPセッション接続以外のパケットを遮断させるブラックリストルールテーブルマッチング部(BLACK LIST RULE TABLE MATCHER)31と、クライアントが要請するデータが該当のウェブサーバーのウェブページ要請パケットである場合に、該当のウェブサーバーの仮想IPアドレスに変換された応答データと、クライアントがウェブサーバーに対するセッション接続を切断して、仮想IPアドレスを通じて接続するように指示するデータとを該当のクライアント側に転送させるURL Redirect処理部(URL Redirect PROCESSOR)33と、が含まれることを特徴とする、NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステムを提供する。
【0012】
ここで、NATデータ処理部30には、クライアントが要請するデータが、TCPセッション接続パケットである場合に、ウェブサーバーの代わりに、TCP SYN−ACK応答を生成して転送するTCP SYNプロキシ処理部(TCP SYN PROXY PROCESSOR)32と、クライアントからパケットを受信し、仮想ウェブサーバーIPアドレスを実際ウェブサーバーIPアドレスに復元し、実際ウェブサーバー側にパケットを伝送させる仮想IP復元部(VIRTUAL IP RESTORATOR)35と、クライアントの要請に応じてウェブサーバーから受信したパケットに対して、ウェブサーバーからクライアントに転送されたウェブサーバーの仮想IPアドレスに変換し、パケット送信を行う仮想IP変換部(VIRTUAL IP TRANSLATOR)34とが含まれる。前記URL Redirect処理部33は、仮想IPアドレスを通じて接続させるURL Moved又はURL Redirect HTTPデータを含み、パケット送信部23を通じて該当のクライアント側に転送し、また、前記ブラックリストルールテーブルマッチング部31のブラックリストルールテーブルには、攻撃者クライアントのソースIPデータ、ウェブサーバーのあて先IPデータ、ウェブサーバーのあて先ポートデータが含まれる。
【0013】
また、本発明は、クライアントとウェブサーバーとの間に位置し、クライアントからウェブサーバーの情報要請に対するデータを受信し、ブラックリストルールテーブルに貯蔵されたパケット情報とマッチングされるか否かを判別し、マッチングすると判別された該当のクライアントのTCPセッション接続以外のパケットは遮断し、また、該当のウェブサーバーの仮想IP情報データと現在のセッション接続を切るように指示するデータを、クライアント側に伝送し、また、該当のクライアント側から該当のウェブサーバーに対する仮想IP情報を通じてウェブサーバーの情報を要請した場合には、正常ユーザーとして判別して処理することを特徴とする、NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステムを提供することができる。
【0014】
さらに、本発明は、クライアント側からウェブサーバーの情報を要請するデータを受信するウェブサーバー情報要請受信段階(S01)と、NATデータ処理部30のブラックリストルールテーブルマッチング部31を通じてクライアントから転送されたデータとブラックリストルールテーブルのデータとがマッチングするか否かを判別するブラックリストマッチング判別段階(S02)と、前記ブラックリストマッチング判別段階(S02)によって該当のクライアントの情報がブラックリストルールテーブルのデータとマッチングされる場合には、該当のクライアントのTCPセッション接続以外のパケットは遮断させるマッチング遮断段階(S03)と、前記マッチング遮断段階(S03)によってマッチングされたクライアントのパケットがTCPセッション接続パケットである場合、TCP SYNプロキシ処理部32が、ウェブサーバーの代わりにTCP SYN−ACK応答を生成して、パケットを転送させる応答データ伝送段階(S04)と、前記マッチング遮断段階(S03)によってマッチングされたクライアントのパケットが、ウェブページ要請パケットである場合、URL Redirect処理部33を通じて該当のウェブサーバーに対する仮想IP情報に変換された情報データと、ウェブページを再要請するデータと、現在のセッション接続を切るように指示するデータとが含まれた信号を、該当のクライアント側に伝送するURL Redirect処理段階(S05)と、が含まれることを特徴とする、NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステムを制御するための制御方法を提供することができる。
【0015】
ここで、前記URL Redirect処理段階(S05)によって、該当のクライアント側から該当のウェブサーバーに対する仮想IPデータが受信された場合には、正常クライアントとして判別し、仮想IP復元部35を通じて該当のウェブサーバーに対する仮想IP情報が実際IP情報に復元され、該当のウェブサーバーに情報要請データを伝送し、また、仮想IP変換部34を通じて該当のウェブサーバーに対する仮想IP情報と、クライアントが要請した該当のウェブサーバー情報データとを転送する。
【発明の効果】
【0016】
上記のように構成される本発明は、DDOS防御と関連して、ウェブサーバーに閾値以上の過度なトラフィックが検知される場合、該当のIPアドレスをブラックリストに登録し、そのIPアドレスの全てのトラフィックを遮断し、また、NAT網において、同一の外部IPアドレスを使用するユーザーを一次的に遮断し、攻撃トラフィック以外の正常ユーザーのトラフィックのみを許容する。特に、本発明は、このような同一のIPアドレスを使用する攻撃者と正常ユーザーとを区分することによって、攻撃者トラフィックは遮断し、正常ユーザーはウェブサービスを使用できるようにする。
【図面の簡単な説明】
【0017】
【図1】本発明による正常ユーザーの遮断を防止するためのシステムを示す構成図である。
【図2】本発明による正常ユーザーの遮断を防止するためのシステムのブラックリストルールテーブルマッチング部による処理過程を示す例示図である。
【図3】本発明による正常ユーザーの遮断を防止するためのシステムによる正常ユーザーの遮断を防止するためのパケット処理を示す例示図である。
【図4】本発明による正常ユーザーの遮断を防止するためのシステムに関するパケット処理の段階別の処理過程を示す例示図である。
【図5】本発明による正常ユーザーの遮断を防止するためのシステムのブラックリストルールテーブルを示す例示図である。
【図6】本発明による正常ユーザーの遮断を防止するためのシステムの制御方法を示すフローチャートである。
【発明を実施するための形態】
【0018】
以下、添付の図面を参照して、本発明の好適な実施例を詳細に説明する。
【0019】
即ち、本発明によるDDOS攻撃防御装備のためのNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム(NAT−ENABLED SYSTEM TO PREVENT THEBLOCKING OF A NORMAL CLIENT’S WEB SERVICE USING NAT FROM A DDOS DEFENSE SYSTEM)20は、図1乃至図6に示すように、クライアントからパケットを受信するパケット受信部22、25と、受信したデータをクライアントに伝送するパケット送信部23、24と、前記パケット受信部からパケット情報を受信し、パケット送信部にデータを伝送するNATデータ処理部30と、を含む。
【0020】
また、前記NATデータ処理部30には、ブラックリストルールテーブルに貯蔵されたパケット情報のデータとマッチングされるか否かを判別し、マッチングされる該当のクライアントとのTCPセッション接続以外のパケットを切るように指示するブラックリストルールテーブルマッチング部31と、前記ブラックリストルールテーブルマッチング部31を通じてマッチングすると判別された該当のクライアントが要請したデータが、TCPセッション接続パケットである場合に、ウェブサーバーの代わりにTCP SYN−ACK応答を生成して転送させるTCP SYNプロキシ処理部32と、が含まれる。
【0021】
また、図5に示すように、ブラックリストルールテーブルマッチング部31のブラックリストルールテーブルには、異常な接続要請及び過度なウェブページ要請のトラフィックが検知されるクライアントを、攻撃者として分類し判別して、該当の攻撃者に対する情報が貯蔵される。
【0022】
したがって、該当のクライアントが攻撃者として判別される場合には、TCPセッション接続パケットを遮断し、ウェブサーバーを保護することができる。
【0023】
また、このように攻撃者として判別される場合には、TCP SYNプロキシ処理部32がウェブサーバーの代わりに、TCP SYN−ACKプロセシングを行うように指示するので、該当のウェブサーバーを保護することができる。
【0024】
また、前記NATデータ処理部30には、該当のクライアントが要請するデータが、該当のウェブサーバーのウェブページ要請パケットである場合に、該当のウェブサーバーの仮想IPアドレスに変換された応答データと、クライアントが該当のウェブサーバーに対する実際ウェブサーバーのセッション接続を切るようにし、仮想IPアドレスを通じて接続させるURL Redirect又はURL Moved HTTPデータとを含み、パケット送信部23を通じて該当のクライアント側に転送させるURL Redirect処理部33が、さらに具備される。
【0025】
特に、このようなURL Redirect処理部33によって、実際ウェブサーバーに対する情報としてデータが処理されるのではなく、仮想IPアドレスが含まれたデータとして処理されるように送受信されるので、該当のウェブサーバーを攻撃者に露出させずに保護することができる。
【0026】
また、前記NATデータ処理部30には、このように仮想IPアドレスと、実際IPアドレスのデータ変換のために、TCP SYN−ACK応答を行うクライアントからデータを受信し、仮想ウェブサーバーIPアドレスを実際ウェブサーバーIPアドレスに復元し、実際ウェブサーバー側にデータを伝送させる仮想IP復元部35と、クライアントの要請に応じてウェブサーバーから受信したパケットに対して、クライアントに転送された該当のウェブサーバーの仮想IPアドレスに変換し、パケット送信を行う仮想IP変換部34と、が含まれる。
【0027】
したがって、もし、ブラックリストルールテーブルとのマッチング過程で攻撃者として判別されたクライアントとしても、正常ユーザーである場合、ブラックリストルールテーブルによるブラックリストのマッチング条件にマッチングされないので遮断されない。反面、攻撃者は、ブラックリストルールテーブルのマッチング条件により遮断され、該当のウェブサーバーを保護することができる。また、TCP SYNプロキシ処理部32、URL Redirect処理部33、仮想IP変換部34、仮想IP復元部35などを通じて正常クライアントであるか否かを判別するのでウェブサーバーを保護しながら、該当の正常ユーザーのクライアントが該当のウェブサーバーを安定的に利用することができる。
【0028】
このような、本発明によるDDOS攻撃防御装備のためのNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム20において、前記ブラックリストルールテーブルマッチング部31のブラックリストルールテーブルには、攻撃者クライアントのソースIPデータ、ウェブサーバーのあて先IPデータ、ウェブサーバーのあて先ポートデータが含まれる。
【0029】
また、本発明によるDOS、DDOS攻撃のように、攻撃者クライアントによる異常な接続要請及び過度なウェブページ要請のトラフィックが受信される際、攻撃防御装備のためのNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム20を制御するための制御方法において、まず、クライアント側からウェブサーバーの情報要請に対するデータを受信するウェブサーバー情報要請受信段階(S01)が行われる。このようなウェブサーバー情報要請受信段階において、DOS、DDOS攻撃のように、異常な接続要請及び過度なウェブページ要請のトラフィックを送るクライアントである場合には、攻撃者として分類し、ブラックリストルールテーブルに該当の情報を貯蔵する。したがって、攻撃者であるか否かをマッチングにより判別する。
【0030】
即ち、NATデータ処理部30のブラックリストルールテーブルマッチング部31によって、クライアントから転送されたデータと、ブラックリストルールテーブルのデータとがマッチングするか否かを判別するブラックリストマッチング判別段階(S02)が行われる。
【0031】
したがって、前記ブラックリストマッチング判別段階(S02)によって該当のクライアントの情報がブラックリストルールテーブルのデータとマッチングされる場合には、該当のクライアントに対するTCPセッション接続以外のパケットは遮断させるマッチング遮断段階(S03)が行われるので、該当のウェブサーバーを保護することができる。
【0032】
また、前記マッチング遮断段階(S03)によってマッチングされたクライアントのパケットがTCPセッション接続パケットである場合、TCP SYNプロキシ処理部32がウェブサーバーの代わりにTCP SYN−ACK応答を生成して、パケット転送させる応答データ伝送段階(S04)が行われる。したがって、正常クライアントであるか否かを判別する過程を進行することができる。
【0033】
また、前記マッチング遮断段階(S03)によってマッチングされたクライアントのパケットがウェブページ要請パケットである場合、URL Redirect処理部33を通じて該当のウェブサーバーに対する仮想IP情報に変換された情報データと、ウェブページを再要請するデータと、現在のセッション接続を切るように指示するデータとが含まれた信号を、該当のクライアント側に伝送するURL Redirect処理段階(S05)が行われるので、該当のウェブサーバーに接続しようとするクライアントが正常クライアントであるか否かを判別することができる。
【0034】
また、このような、前記URL Redirect処理段階(S05)によって該当のクライアント側から、該当のウェブサーバーに対する仮想IPデータが含まれたデータが受信された場合には、正常クライアントとして判別し、仮想IP復元部35を通じて該当のウェブサーバーに対する仮想IP情報から実際IP情報に復元させ、該当のウェブサーバーに情報を要請するデータを伝送し、また、仮想IP変換部34を通じて該当のウェブサーバーに対する仮想IP情報と、クライアントが要請した該当のウェブサーバーの情報データとを該当のクライアント側に転送させる。
【0035】
以下、本発明による詳細な構成について添付の図面を参照し説明する。ウェブサービスへの正常ユーザーの遮断を防止するためのシステム20は、ユーザー(正常ユーザー11、攻撃者12)とウェブサーバー13との間に位置して、図1のように、パケット受信部22、25と、パケット送信部23、24と、また、これらを連結するNATデータ処理部30と、で構成される。
【0036】
また、このようなNATデータ処理部30(NAT DATA PROCESSOR)は、ブラックリストルールテーブルマッチング部(BLACK LIST RULE TABLE MATCHER)31と、TCP SYNプロキシ処理部(TCP SYN PROXY PROCESSOR)32と、URL Redirect処理部33(URL Redirect PROCESSOR)と、サーバーのIPアドレスを仮想IPアドレスに変換するための仮想IP変換部(VIRTUAL IP TRANSLATOR)34と、仮想IPアドレスを実際IPアドレスに復元するための仮想IP復元部(VIRTUAL IP RESTORATOR)35と、で構成される。
【0037】
ここで、パケット受信部22は、正常ユーザー11、攻撃者12などのパケット情報をネットワークから受信し、NATデータ処理部30に、その受信されたパケットデートを伝送して、NATデータ処理部30では転送されたデータを受信し、ブラックリストルールテーブルマッチング部31によって攻撃者の情報であるか否かをマッチング過程を通じて検査する。
【0038】
したがって、ブラックリストルールテーブルマッチング部31によって攻撃者であるか否かを判別し、攻撃者として判別する場合には、その攻撃者として判別されたパケットを直ちに遮断させる。即ち、正常のTCPセッション接続以外の攻撃者の接続として判別されると、直ちに、その攻撃者として判別されたパケットを遮断させる。
【0039】
反面、攻撃者の情報以外の正常ユーザーの情報である場合、ブラックリストルールテーブルマッチング部31でのマッチング判別処理過程において、正常TCPセッション接続パケットとして判別された場合には、図4のように、TCP SYNプロキシ処理部32を通じてウェブサーバー13の代わりにTCP SYN−ACK応答を生成して、パケット送信部23を通じてパケットをユーザー側に送る。
【0040】
また、ユーザーから転送されたデータ情報がHTTPウェブページ要請パケットである場合には、URL Redirect処理部33を通じてURL Redirectパケットを生成して、パケット送信装置に伝送する。HTTPウェブページ要請が仮想ウェブサーバーアドレスである場合、仮想IP復元部35を通じて実際ウェブサーバー13のIPアドレスに変換し、パケット送信部24を通じてウェブサーバー13にパケットを伝送する。また、ウェブサーバー13からパケット受信部25を通じて受信したパケットは、正常ユーザー11に送信された仮想IPアドレスに、仮想IP変換部34を通じて変換し、パケット送信部23を通じてユーザーに転送し、DDOS攻撃防御装備のためのNAT網用パケットデータ処理装備を構成する。
【0041】
続いて、本発明によるDDOS攻撃防御装備のためのNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム20による攻撃者防御の過程について説明する。
【0042】
即ち、図2のウェブサービスの正常ユーザーの遮断を防止するためのシステム20は、DDOS防御用NAT処理装備の構成に示すように、検知エンジンを通じて攻撃者の異常な接続要請、及びウェブサーバーに対する過度なウェブページ要請トラフィックが検知される場合、ブラックリストルールテーブルマッチング部31のデータベースに、NAT及びウェブサーバーに対する情報が貯蔵させる。この際、NAT公認IPアドレス(10.10.10.1)、ウェブサーバーIPアドレス(211.222.195.5)、ウェブサーバーポート80をブラックリストルールテーブルマッチング部31のデータベースのテーブルに登録させる。
【0043】
DDOS攻撃防御用NAT処理装備を通じて受信されるパケットをクライアントIPアドレス(10.10.10.1)、ウェブサーバーIPアドレス(211.222.195.5)、ウェブサーバーポート80である場合とそれぞれ分析し、ブラックリストルールテーブルマッチング部31のデータテーブルとマッチングされ、攻撃者として判別されると、ブラックリストルールテーブルマッチング部31ではTCPセッション接続以外の攻撃者パケットは、直ちに遮断させるように制御信号を他の制御部材に伝送する。
【0044】
また、TCPセッション接続に関連するパケットは、TCP SYNプロキシ処理部32に転送される。ここで、TCP SYNプロキシ処理部32は、ウェブサーバー13の代わりにTCP SYNセッション接続要請に対するSYN−ACK応答を行う装置として作動される。即ち、このようなTCP SYNプロキシ処理部32には異常なTCP接続要請をウェブサーバー13に伝達せずに遮断するのに利用されるプロキシ装置が適用される。
【0045】
このようなTCP SYNプロキシ処理部32を通じてウェブサーバー13へのSYNフラッディング攻撃(Syn Flooding Attack)やセッション接続要請による攻撃を全て遮断することができる。SYNフラッディングとは、TCPセッション接続要請によってサーバーがSYNパケットを受信する際、メモリーを割り当てるので、SYNフラッディング攻撃が発生されると多量のSYNパケットを受信して、過大なメモリー容量を使用することで、正常的なTCP接続処理を不可能にする攻撃方法である。したがって、このような本発明によるブラックリストルールテーブルマッチング部31及びTCP SYNプロキシ処理部32によって、攻撃者として判別されるデータをウェブサーバー13に伝達せずに遮断することができるので、正常的なユーザーの情報を保護することができる。
【0046】
続いて、本発明によるDDOS攻撃防御装備のためのNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステムにおいて、正常ユーザーに対する処理過程について説明する。
【0047】
即ち、図3に示すように、クライアントが“GET/index.Html HTTP 1.1”のようにウェブページ要請を行った場合、現在のTCPセッション接続を切断して、仮想のホストを通じて接続するようにウェブサーバーのホストアドレスをwww.naver1.comに変更し、正常ユーザーであるかを確認するための応答パケットをユーザー側に送る。
【0048】
ここで、URL Redirect処理部33では、現在のセッション接続を切るように、クライアントにTCPヘッダーにFIN、PUSH、ACK=1に設定し、HTTPプロトコル標準であるURL Moved又はURL Redirect301/302コードとロケーション:www.naver1.comの応答パケットを生成して送る。TCP FIN、PUSH、ACK=1に設定し、クライアントに現在のセッション接続を切断して、新しいTCPセッション要請を行うように指示するためである。HTTP URL Redirectは、クライアントに、現在、要請したページのアドレスが変更されたこと、及びロケーションフィールドに明示されたアドレスに再要請することを知らせるためのHTTP応答パケットである。また、下記のようにパケットを生成して構成することができる。
【0049】
(a) Interne Protocol、src:10.10.10.1、dst:211.222.195.5
(b) Transmission Control Protocol:dst_port:http(80)、FIN:1、PUSH:1、ACK:1
(c) Hypertext Transfer Protocol:
HTTP1.1 301 Moved Permanently
Content−Length:0
Location:http://www.naver1.com
Connection:close
また、上記の(a)はIPヘッダーに関するもので、ソースとあて先IPアドレスを含んでいる構成を示したものであり、(b)はソースとあて先のポート、TCPフラッグを含んでいることを示したものである。そして(C)はHTTPヘッダー情報を含んでHTTP 1.1 301状態のコードでURL Moved/Redirectされたという応答コードに関するもので、ロケーションフィールドは変更されたサーバーのURLアドレスを表示する。
【0050】
前記のような実施例において、パケット情報はアドレスがwww.naver.comからwww.naver1.comに変更されたことを知らせるためのHTTPパケット情報を伝送する。ユーザーA(10.10.10.1)が仮想のウェブサーバー(211.222.195.6:www.naver1.com:80)にウェブページを要請する際、正常ユーザー11である場合には、ブラックリストルールテーブルマッチング部31でマッチングされないので遮断されない。
【0051】
そして、仮想IP復元部35では仮想のウェブサーバーアドレス(211.222.195.6:www.naver1.com:80)を、実際のサーバーIPアドレス(211.222.195.5:www.naver1.com:80)に復元し、ウェブサーバーAに伝送する。
【0052】
続いて、ウェブサーバーAから受信されるパケットは、仮想IP変換部34を通じてウェブサーバーAからユーザーAに送るソースアドレスを仮想IPアドレス(211.222.195.6)に変換し、ユーザーAに伝送する。これはウェブサーバーAから受信されるパケットがブラックリストルールテーブルマッチング部31に貯蔵された情報とマッチングされることなく正常ユーザー11として判別し、ブラックリストルールテーブルマッチング部31を通じて遮断されることを防止するための過程である。
【0053】
一般的に使用する大部分のDDOS攻撃ツールの方法は、サーバーに対する応答をしなくて、単方向に多量のトラフィックをサーバーに送って攻撃する方法を使用する。したがって、攻撃者PC(10.10.10.1)12によるウェブページ要請の場合には、図2の3番段階(3.ACK)のパケットに対する応答をせずにウェブページ要請のみを行う。
【0054】
したがって、ウェブページ要請パケットであるウェブサーバー(211.222.195.5:80)“GET/index.htmlHTTP1.1“と、攻撃者PC(10.10.10.1)情報と、ウェブサーバー(211.222.195.5:80)に対する情報とを要請するパケットを受信すると、ブラックリストルールテーブルマッチング部31ではこのような攻撃者による接近を遮断させる。
【0055】
反面、ブラックリストルールテーブルマッチング部31のデータベースのテーブルに攻撃者リストとして登録されていないとともに、新しいACKに対する要請に対して仮想ウェブサーバーの情報でもってウェブページ要請を行う場合には、ブラックリストルールテーブルマッチング部31では正常ユーザーとして分類し、したがって、仮想IP復元35及び仮想IP変換部34を通じて正常ユーザー11側に該当のウェブサーバーに対する情報を伝送する。
【0056】
したがって、NAT網において同一のIPアドレスを使用するユーザーAと攻撃者PCとを区分し、同一のIPアドレスを使用する場合にも、要請される要請情報によってマッチングテーブルから判別することで、攻撃者PCは遮断させ、正常ユーザーに対するインターネットサービスの遮断を防止させて正常使用を可能にする。
【0057】
以上では本発明の実施例に挙げて詳細に説明してきたが、これらの実施例は、本明の属する技術分野における通常の知識を有する者が、本発明を容易に実施できるように記載したもので、上記の実施例により本発明の技術思想が制限されることはない。
【符号の説明】
【0058】
11 正常ユーザー
12 攻撃者
13 ウェブサーバー
20 正常ユーザーの遮断を防止するためのシステム
22、25 パケット受信部
23、24 パケット送信部
30 NATデータ処理部
31 ブラックリストルールテーブルマッチング部
32 TCP SYNプロキシ処理部
33 URL Redirect処理部
34 仮想IP変換部
35 仮想IP復元部
【特許請求の範囲】
【請求項1】
クライアントからデータを受信するパケット受信部と、
受信したデータをクライアントに伝送するパケット送信部と、
前記パケット受信部からパケット情報を受信し、パケット送信部にデータを伝送するNATデータ処理部(30)とを含み、
前記NATデータ処理部(30)には、
ブラックリストルールテーブルに貯蔵されたパケット情報のデータとマッチングされるか否かを判別し、マッチングされる該当のクライアントとのTCPセッション接続以外のパケットを遮断させるブラックリストルールテーブルマッチング部(31)と、
クライアントが要請するデータが該当のウェブサーバーのウェブページ要請パケットである場合に、該当のウェブサーバーの仮想IPアドレスに変換された応答データと、クライアントがウェブサーバーに対するセッション接続を切断して、仮想IPアドレスを通じて接続するように指示するデータとを該当のクライアント側に転送させるURL Redirect処理部(33)と、が含まれることを特徴とする、NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム。
【請求項2】
前記NATデータ処理部(30)には、
クライアントが要請するデータが、TCPセッション接続パケットである場合に、ウェブサーバーの代わりに、TCP SYN−ACK応答を生成して転送するTCP SYNプロキシ処理部(32)と、
クライアントからパケットを受信し、仮想ウェブサーバーIPアドレスを実際ウェブサーバーIPアドレスに復元し、実際ウェブサーバー側にパケットを伝送させる仮想IP復元部(35)と、
クライアントの要請によってウェブサーバーから受信したパケットに対して、ウェブサーバーからクライアントに転送されたウェブサーバーの仮想IPアドレスに変換し、パケット送信を行う仮想IP変換部(34)とが含まれて、
前記URL Redirect処理部(33)は、仮想IPアドレスを通じて接続させるURL Moved又はURL Redirect HTTPデータを含み、パケット送信部(23)を通じて該当のクライアント側に転送し、また、
前記ブラックリストルールテーブルマッチング部(31)のブラックリストルールテーブルには、攻撃者クライアントのソースIPデータ、ウェブサーバーのあて先IPデータ、ウェブサーバーのあて先ポートデータが含まれることを特徴とする、請求項1に記載のNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム。
【請求項3】
クライアントとウェブサーバーとの間に位置し、
クライアントからウェブサーバーの情報要請に対するデータを受信し、
ブラックリストルールテーブルに貯蔵されたパケット情報とマッチングされるか否かを判別し、マッチングすると判別された該当のクライアントのTCPセッション接続以外のパケットは遮断して、
該当のウェブサーバーの仮想IP情報データと現在のセッション接続を切るように指示するデータを、クライアント側に伝送し、また、
該当のクライアント側から該当のウェブサーバーに対する仮想IP情報でもってウェブサーバーの情報を要請した場合には、正常ユーザーとして判別して処理することを特徴とする、NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム。
【請求項4】
クライアント側からウェブサーバーの情報を要請するデータを受信するウェブサーバー情報要請受信段階(S01)と、
NATデータ処理部(30)のブラックリストルールテーブルマッチング部(31)を通じてクライアントから転送されたデータとブラックリストルールテーブルのデータとがマッチングするか否かを判別するブラックリストマッチング判別段階(S02)と、
前記ブラックリストマッチング判別段階(S02)によって該当のクライアントの情報がブラックリストルールテーブルのデータとマッチングされる場合には、該当のクライアントのTCPセッション接続以外のパケットは遮断させるマッチング遮断段階(S03)と、
前記マッチング遮断段階(S03)によってマッチングされたクライアントのパケットがTCPセッション接続パケットである場合、TCP SYNプロキシ処理部(32)が、ウェブサーバーの代わりにTCP SYN−ACK応答をして、パケットを転送させる応答データ伝送段階(S04)と、
前記マッチング遮断段階(S03)によってマッチングされたクライアントのパケットが、ウェブページ要請パケットである場合、URL Redirect処理部(33)を通じて該当のウェブサーバーに対する仮想IP情報に変換された情報データと、ウェブページを再要請するデータと、現在のセッション接続を切るように指示するデータとが含まれた信号を、該当のクライアント側に伝送するURL Redirect処理段階(S05)と、
が含まれることを特徴とする、NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステムを制御するための制御方法。
【請求項5】
前記URL Redirect処理段階(S05)によって、
該当のクライアント側から、該当のウェブサーバーに対する仮想IPデータが含まれたデータが受信された場合には、正常クライアントとして判別し、仮想IP復元部(35)を通じて該当のウェブサーバーに対する仮想IP情報から実際IP情報に復元させ、該当のウェブサーバーに情報を要請するデータを伝送し、また、仮想IP変換部(34)を通じて該当のウェブサーバーに対する仮想IP情報と、クライアントが要請した該当のウェブサーバーの情報データとを転送させることを特徴とする、請求項4に記載のNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステムを制御するための制御方法。
【請求項1】
クライアントからデータを受信するパケット受信部と、
受信したデータをクライアントに伝送するパケット送信部と、
前記パケット受信部からパケット情報を受信し、パケット送信部にデータを伝送するNATデータ処理部(30)とを含み、
前記NATデータ処理部(30)には、
ブラックリストルールテーブルに貯蔵されたパケット情報のデータとマッチングされるか否かを判別し、マッチングされる該当のクライアントとのTCPセッション接続以外のパケットを遮断させるブラックリストルールテーブルマッチング部(31)と、
クライアントが要請するデータが該当のウェブサーバーのウェブページ要請パケットである場合に、該当のウェブサーバーの仮想IPアドレスに変換された応答データと、クライアントがウェブサーバーに対するセッション接続を切断して、仮想IPアドレスを通じて接続するように指示するデータとを該当のクライアント側に転送させるURL Redirect処理部(33)と、が含まれることを特徴とする、NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム。
【請求項2】
前記NATデータ処理部(30)には、
クライアントが要請するデータが、TCPセッション接続パケットである場合に、ウェブサーバーの代わりに、TCP SYN−ACK応答を生成して転送するTCP SYNプロキシ処理部(32)と、
クライアントからパケットを受信し、仮想ウェブサーバーIPアドレスを実際ウェブサーバーIPアドレスに復元し、実際ウェブサーバー側にパケットを伝送させる仮想IP復元部(35)と、
クライアントの要請によってウェブサーバーから受信したパケットに対して、ウェブサーバーからクライアントに転送されたウェブサーバーの仮想IPアドレスに変換し、パケット送信を行う仮想IP変換部(34)とが含まれて、
前記URL Redirect処理部(33)は、仮想IPアドレスを通じて接続させるURL Moved又はURL Redirect HTTPデータを含み、パケット送信部(23)を通じて該当のクライアント側に転送し、また、
前記ブラックリストルールテーブルマッチング部(31)のブラックリストルールテーブルには、攻撃者クライアントのソースIPデータ、ウェブサーバーのあて先IPデータ、ウェブサーバーのあて先ポートデータが含まれることを特徴とする、請求項1に記載のNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム。
【請求項3】
クライアントとウェブサーバーとの間に位置し、
クライアントからウェブサーバーの情報要請に対するデータを受信し、
ブラックリストルールテーブルに貯蔵されたパケット情報とマッチングされるか否かを判別し、マッチングすると判別された該当のクライアントのTCPセッション接続以外のパケットは遮断して、
該当のウェブサーバーの仮想IP情報データと現在のセッション接続を切るように指示するデータを、クライアント側に伝送し、また、
該当のクライアント側から該当のウェブサーバーに対する仮想IP情報でもってウェブサーバーの情報を要請した場合には、正常ユーザーとして判別して処理することを特徴とする、NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム。
【請求項4】
クライアント側からウェブサーバーの情報を要請するデータを受信するウェブサーバー情報要請受信段階(S01)と、
NATデータ処理部(30)のブラックリストルールテーブルマッチング部(31)を通じてクライアントから転送されたデータとブラックリストルールテーブルのデータとがマッチングするか否かを判別するブラックリストマッチング判別段階(S02)と、
前記ブラックリストマッチング判別段階(S02)によって該当のクライアントの情報がブラックリストルールテーブルのデータとマッチングされる場合には、該当のクライアントのTCPセッション接続以外のパケットは遮断させるマッチング遮断段階(S03)と、
前記マッチング遮断段階(S03)によってマッチングされたクライアントのパケットがTCPセッション接続パケットである場合、TCP SYNプロキシ処理部(32)が、ウェブサーバーの代わりにTCP SYN−ACK応答をして、パケットを転送させる応答データ伝送段階(S04)と、
前記マッチング遮断段階(S03)によってマッチングされたクライアントのパケットが、ウェブページ要請パケットである場合、URL Redirect処理部(33)を通じて該当のウェブサーバーに対する仮想IP情報に変換された情報データと、ウェブページを再要請するデータと、現在のセッション接続を切るように指示するデータとが含まれた信号を、該当のクライアント側に伝送するURL Redirect処理段階(S05)と、
が含まれることを特徴とする、NAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステムを制御するための制御方法。
【請求項5】
前記URL Redirect処理段階(S05)によって、
該当のクライアント側から、該当のウェブサーバーに対する仮想IPデータが含まれたデータが受信された場合には、正常クライアントとして判別し、仮想IP復元部(35)を通じて該当のウェブサーバーに対する仮想IP情報から実際IP情報に復元させ、該当のウェブサーバーに情報を要請するデータを伝送し、また、仮想IP変換部(34)を通じて該当のウェブサーバーに対する仮想IP情報と、クライアントが要請した該当のウェブサーバーの情報データとを転送させることを特徴とする、請求項4に記載のNAT網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステムを制御するための制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2011−221993(P2011−221993A)
【公開日】平成23年11月4日(2011.11.4)
【国際特許分類】
【出願番号】特願2011−45597(P2011−45597)
【出願日】平成23年3月2日(2011.3.2)
【出願人】(511055876)ウィンス テックネット カンパニー,リミテッド (1)
【Fターム(参考)】
【公開日】平成23年11月4日(2011.11.4)
【国際特許分類】
【出願日】平成23年3月2日(2011.3.2)
【出願人】(511055876)ウィンス テックネット カンパニー,リミテッド (1)
【Fターム(参考)】
[ Back to top ]