표제지
약어표
요약
목차
I. 서론 15
II. 관련 연구 18
2.1. NAT 분류 및 동작 메커니즘 18
2.1.1. 일반적인 방식에 따른 분류 18
2.1.2. Mapping 방식에 따른 분류 22
2.1.3. NAT 동작 메커니즘 27
2.2. NAT 내부 호스트 식별 기술 33
2.2.1. IP ID Field를 이용한 Host 탐지 33
2.2.2. 추가적인 IP Header 정보를 이용한 Host 탐지 37
2.3. DDoS/DoS 공격 유형 및 탐지·대응 기술 44
2.3.1. DDoS/DoS 공격 유형 분류 44
2.3.2. DDoS/DoS 공격 탐지 및 차단 기술 46
III. 제안하는 SYN 패킷 Port Pattern 기반의 NAT 내부 호스트 식별 및 DDoS/DoS 공격 탐지 알고리즘 50
3.1. 기존 NAT 탐지 알고리즘(IP ID를 이용한 탐지)에 대한 고찰 50
3.1.1. 기존 NAT 탐지 알고리즘 50
3.1.2. 기존 NAT 탐지 알고리즘의 문제점 및 한계 54
3.2. 제안하는 NHDI(NATted Host Detection & Identification Algorithm) 알고리즘 56
3.2.1. 3-Way Handshake 56
3.2.2. NAT 장비에서의 Port 할당 방식 확인 58
3.2.3. NAT/Non-NAT SYN Port 그래프 비교 59
3.2.4. NHDI Basic Concept 66
3.2.5. NHDI 67
3.3. DDoS/DoS 탐지 알고리즘 69
3.3.1. DDoS/DoS 트래픽의 특징 69
3.3.2. 제안하는 DDoS/DoS 공격 탐지 알고리즘 71
IV. 실험 및 평가 74
4.1. 실험 환경 및 실험 방법 74
4.2. Non-NATted Hosts (Case 1) 75
4.2.1. 기존 NAT 탐지 알고리즘 76
4.2.2. SYN 패킷의 Port 패턴을 활용한 NAT 탐지 알고리즘 78
4.3. NATted Hosts (Case 2) 81
4.3.1. 기존 NAT 탐지 알고리즘 82
4.3.2. SYN 패킷의 Port 패턴을 활용한 NAT 탐지 알고리즘 83
4.4. NATted & Non-NATted Hosts (Case 3) 86
4.4.1. 기존 NAT 탐지 알고리즘 87
4.4.2. SYN 패킷의 Port 패턴을 활용한 NAT 탐지 알고리즘 88
4.5. 알고리즘 성능 평가 및 비교 91
4.6. 경원대학교 네트워크 NAT 내부 호스트 탐지 94
4.7. 호스트 식별 그룹 기반 DDoS/DoS 공격 탐지 96
4.7.1. Source IP 변화 산정을 통한 IP Spoofing 공격 탐지 97
4.7.2. 트래픽 Volume 기반 DDoS/DoS 공격 탐지 100
V. 결론 104
참고문헌 106
ABSTRACT 108
표 2.1. NAT 테이블 30
표 2.2. 기존 알고리즘의 파라미터 값 34
표 2.3. DDoS/DoS 공격 탐지 기법 46
표 2.4. DDoS/DoS 공격 차단 방법 47
표 3.1. 기존 NAT 탐지 알고리즘에 사용되는 파라미터 값 51
표 3.2. 실험에 사용된 NAT 장치 58
표 4.1. 기존 알고리즘 파라미터 값 (Case 1) 76
표 4.2. NHDI 파라미터 값 (Case 1) 78
표 4.3. NHDI 실험 결과 (Case 1) 78
표 4.4. 기존 알고리즘 파라미터 값 (Case 2) 82
표 4.5. NHDI 파라미터 값 (Case 2) 83
표 4.6. NHDI 실험 결과 (Case 2) 84
표 4.7. 기존 알고리즘 파라미터 값 (Case 3) 87
표 4.8. NHDI 파라미터 값 (Case 3) 88
표 4.9. NHDI 실험 결과 (Case 3) 89
표 4.10. 알고리즘별 시간 복잡도 평가 91
표 4.11. 알고리즘 성능 비교 92
표 4.12. 경원대학교 네트워크 NHDI 실험 결과 95
표 4.13. IP Spoofing 공격 탐지 실험 결과 99
표 4.14. SYN Flooding 공격 탐지 실험 결과 103
그림 2.1. Dynamic NAT 19
그림 2.2. Static NAT 20
그림 2.3. Port Address Translation 21
그림 2.4. Full Cone NAT 23
그림 2.5. Restricted Cone NAT 24
그림 2.6. Port Restricted Cone NAT 25
그림 2.7. Symmetric NAT 26
그림 2.8. NAT의 형태 28
그림 2.9. NAT 구성도 29
그림 2.10. NAT 개념도 30
그림 2.11. NAT 동작의 순서도 31
그림 2.12. NAT 패킷 흐름도 32
그림 2.13. IP Header 33
그림 2.14. 기존알고리즘의 Host 탐지 수행 결과 34
그림 2.15. IP ID를 이용한NAT 탐지시 오탐이 발생할 수 있는 측정 위치 36
그림 2.16. 라우터 위치에 따른 탐지 IP Header의 ID Field 차이 36
그림 2.17. IP ID Field를 이용한 Host 탐지 알고리즘에 의해 생성된 선형 37
그림 2.18. Port별 IP ID 최소·최대값에 의해 생성된 범위값 39
그림 2.19. Packet Data 전처리 과정 40
그림 2.20. 전처리를 통해 생성된 Port 그룹 41
그림 3.1. 기존 NAT 탐지 알고리즘 (Flow Chart) 52
그림 3.2. 기존 NAT 탐지 알고리즘의 IP ID 시퀀스 집합 생성 52
그림 3.3. 기존 NAT 탐지 알고리즘의 “Best” 매칭 조건 53
그림 3.4. 기존 NAT 탐지 알고리즘의 Post Processing 53
그림 3.5. IP ID Collision 54
그림 3.6. 3-Way Handshake 과정 56
그림 3.7. Non-NAT 실험 환경 59
그림 3.8. Non-NAT 환경에서의 PCAP 60
그림 3.9. Non-NAT 환경에서의 SYN Port 모델링 (단일 호스트) 61
그림 3.10. NAT 실험 환경 (단일 호스트) 61
그림 3.11. NAT 환경에서의 PCAP (단일 호스트) 62
그림 3.12. NAT 환경에서의 SYN Port 모델링 (단일 호스트) 63
그림 3.13. NAT 실험 환경 (다중 호스트) 64
그림 3.14. NAT 환경에서의 SYN Port 모델링 (다중 호스트) 65
그림 3.15. NHDI Basic Concept 66
그림 3.16. NHDI (Flow Chart) 68
그림 3.17. DDoS/DoS 공격 탐지 및 대응 (Flow Chart) 72
그림 4.1. 18 Non-NATted Hosts 실험 환경 75
그림 4.2. 기존 알고리즘 수행 결과 (Case 1) 77
그림 4.3. NHDI 알고리즘 수행 결과 (Case 1) 80
그림 4.4. 18 NATted Hosts 실험 환경 81
그림 4.5. 기존알고리즘 수행 결과 (Case 2) 82
그림 4.6. NHDI 알고리즘 수행 결과 (Case 2) 85
그림 4.7. 17 NATted & Non-NATted Hosts 실험 환경 86
그림 4.8. 기존알고리즘 수행 결과 (Case 3) 87
그림 4.9. NHDI 알고리즘 수행 결과 (Case 3) 90
그림 4.10. 경원대학교 학내망 네트워크 94
그림 4.11. NATted Hosts with DDoS Attack 실험환경 96
그림 4.12. IP Spoofing 공격 Packet 정보 97
그림 4.13. 호스트 탐지 및 식별 결과 98
그림 4.14. IP Spoofing 공격 호스트 탐지 98
그림 4.15. DDoS/DoS 공격용 Tool 100
그림 4.16. DDoS 공격 Packet정보 (SYN Flooding 공격) 101
그림 4.17. 호스트 탐지 및 식별 결과 102
그림 4.18. DDoS 공격(SYN Flooding) 호스트 탐지 102