본문 바로가기
HOME> 논문 > 논문 검색상세

논문 상세정보

SYN Flood DoS 공격을 차단하기 위한 확장 TCP
The Extended TCP for Preventing from SYN Flood DoS Attacks

박진원   (울산대학교 컴퓨터 정보통신공학부UU0001014  ); 김명균   (울산대학교 컴퓨터 정보통신공학부UU0001014  );
  • 초록

    서비스 거부 공격이란 서비스를 제공하는데 있어 필요한 컴퓨팅 및 통신 자원을 고갈시키는 공격으로 원천적으로 해결하기가 매우 힘든 것으로 알려져 있다. TCP는 연결 설정 과정에 있어 서비스 거부 공격을 당할 수 있는 문제점을 가지고 있다. TCP는 연결 설정이 완료될 때까지 각 연결 설정 단계의 상태를 큐에 저장하고 있다가 연결 설정이 완료되면 연결된 소켓을 어플리케이션으로 전달한다. 공격자는 수많은 연결 요청을 보내고 이 요청에 대한 연결 과정을 완료하지 않음으로 해서 이 큐를 가득 차게 해 다른 정상적인 연결 요청을 받아들일 수 없도록 할 수 있다. 본 논문에서는 이러한 서비스 거부 공격을 차단하기 위한 확장 TCP를 제안하고 이를 리눅스 상에서 구현하였다. 제안한 확장 TCP는 연결 설정이 종료될 때까지는 연결 설정 과정에 대한 상태를 큐에 유지하지 않도록 함으로써 서비스 거부 공격을 막을 수 있도록 하였다. 제안된 확장 TCP를 위해 TCP의 3-way handshake 과정을 일부 수정하고 이를 리눅스 커널에 구현하였으며 그 성능을 실험해 본 결과 정상적인 서비스 환경에서는 수정전의 TCP의 연결 처리 속도에 비해 $0.05\%$ 정도의 지연이 있었지만 SYN Flood 공격이 이루어지고 있는 상황에서는 아무런 영향을 받지 않았다


    The Denial of Service(DoS) attacks, which are done by consuming all of the computing or communication resources necessary for the services, are known very difficult to be protected from. TCP has drawbacks in its connection establishment for possible DoS attacks. TCP maintains the state of each partly established connection in the connection queue until it is established completely and accepted by the application. The attackers can make the queue full by sending connection requests repeatedly and not completing the connection establishment steps for those requests. In this paper, we have designed and implemented the extended TCP for preventing from SYN Flood DoS attacks. In the extended TCP, the state of each partly established connection is not maintained in the queue until the connection is established completely. For the extended TCP, we have modified the 3-way handshake procedure of TCP and implemented the extended TCP in the Linux operating system. The test result shows $0.05\%$ delay more than original TCP, but it shows that the extended TCP is strong for SYN Flood attacks.


  • 주제어

    서비스 거부 .   보안 .   리눅스 시스템.  

  • 참고문헌 (6)

    1. Lau, F.; Rubin, S.H.; Smith, M.H.; Trajkovic, L.;, 'Distributed denial of service attacks,' Systems, Man, and Cybernetics, 2000 IEEE International Conference on, Volume: 3, 8-11 Oct. 2000 Page(s): 2275-2280 vol.3 
    2. Schuba, C.L.; Krsul, I.V.; Kuhn, M.G.; Spafford, E.H.; Sundaram, A.; Zamboni, D.;, 'Analysis of a denial of service attack on TCP,' Security and Privacy, 1997. Proceedings., 1997 IEEE Symposium on, 4-7 May 1997 Page(s): 208-223 
    3. Haining Wang: Danlu Zhang: Kang G. Shin., 'Detecting SYN flooding attacks,' INFOCOM 2002. Twenty-First Annual Joint Conference of the IEEE Computer and Communications Societies. Proceedings. IEEE, Volume: 3, 23-27 June 2002 Page(s): 1530-1539 
    4. Haining Wang: DanJu Zhang: Shin, K.G.:, 'SYN-dog: sniffing SYN flooding sources,' Distributed Computing Systems, 2002. Proceedings. 22nd International Conference on, 2-5 July 2002 Page(s): 421-428 
    5. Jonathan Lemon;, 'Resisting SYN flood DoS attacks with a SYN cache,' Proceedings of the BSDCon 2002 Conference, Feb 2002 
    6. Zin-Won Park; Joon-Hyung Lee; Myung-Kyung Kim;, 'Design of and Extended TCP for preventing DoS Attacks,' Proceedings of 2003KORUS, 2003, Page(s)385-389 

 저자의 다른 논문

  • 박진원 (3)

    1. 2004 "공장자동화를 위한 토폴로지에 따른 스위칭 이더넷의 성능분석" 정보처리학회논문지. The KIPS transactions. Part C Part C c11 (1): 99~108    
    2. 2004 "압축 기능을 가진 웹캐시 시스템 개발" 정보처리학회논문지. The KIPS transactions. Part A. Part A a11 (1): 29~36    
    3. 2006 "A Light-weight and Dynamically Reconfigurable RMON Agent System" International journal of information processing systems 2 (3): 183~188    
  • 김명균 (15)

 활용도 분석

  • 상세보기

    amChart 영역
  • 원문보기

    amChart 영역

원문보기

무료다운로드
  • NDSL :
유료다운로드

유료 다운로드의 경우 해당 사이트의 정책에 따라 신규 회원가입, 로그인, 유료 구매 등이 필요할 수 있습니다. 해당 사이트에서 발생하는 귀하의 모든 정보활동은 NDSL의 서비스 정책과 무관합니다.

원문복사신청을 하시면, 일부 해외 인쇄학술지의 경우 외국학술지지원센터(FRIC)에서
무료 원문복사 서비스를 제공합니다.

NDSL에서는 해당 원문을 복사서비스하고 있습니다. 위의 원문복사신청 또는 장바구니 담기를 통하여 원문복사서비스 이용이 가능합니다.

이 논문과 함께 이용한 콘텐츠
이 논문과 함께 출판된 논문 + 더보기