SDN에서의 Half Open Time 단축을 통한 SYN Flooding 방어 기법과 가용성 확보 기법

Abstract

현재 상용되는 대부분의 네트워크 시스템은 모바일 데이터 및 대용량 데이터의 급증으로 인해, 네트워크 구성이 점점 복잡해지고 비효율적이며 유연하지 못하다는 단점을 드러내고 있다. 이를 극복하고 해결하기 위해 네트워크 변경이나 추가를 시도해 보지만, 네트워크 장비의 공급을 독점하는 소수 벤더들이 서로 자사의 프로토콜만을 적용하기 때문에 네트워크 장비 간 호환성이 결여되어 변경, 추가 등에 막대한 비용이 들어간다. 네트워크 시스템에서 보안은 가장 중요하고도 필수적인 문제로서, 네트워크 시스템을 다운시키기 위한 악의적인 DDoS 공격 중 가장 많은 비중을 차지하는 SYN Flooding 공격에 대한 효율적인 방어·차단차단 기법들이 최근에 꾸준히 연구되고 있으며, 별도의 장비나 회선을 추가하지 않고 유효한 방어·차단 기법을 정립하는 것이 최근의 시급한 과제이기도 하다. 본 연구는 이같은 문제 의식을 토대로 SDN(Software Defined Networking), 즉 ‘소프트웨어 정의 네트워크’환경에서 SYN Flooding 공격을 별도의 장비나 회선 추가 없이 효과적으로 차단할 수 있는 저비용 고효율의 방어 기법과 네트워크 자원의 가용성 확보 기법에 대해 제시하고자 한다. 이를 위해 본 연구는 TCP connection SYN 패킷을 보관하는 Backlog Queue의 점유률이 50%에 도달하면, 1차적으로 공격성이 의심되는 SYN 패킷에 대해 Half Open Time을 단계적으로 단축시킴으로써 SYN Flooding 공격에 의해 서버가 점유되는 시간을 지연시키는 방법을 제안하였다. 이를 통해 불필요한 모니터링에 소요되는 네트워크 자원 소모를 막고, 사용자의 서비스 시간을 추가로 확보할 뿐 아니라 추가적인 신규 사용자에 대해서도 서비스 제공 시간을 확보하고자 하였다. 또한 Backlog Queue 점유률이 70%를 넘어서게 되면, 이제는 이를 악의적인 공격으로 확신하여, 2단계로 공격성 SYN 패킷에 대한 차단·삭제 프로세스를 동작시킴으로써 SYN Flooding 공격을 중단·불발시킬 수 있었다. 이처럼 본 연구에서는 sFlow의 모니터링을 통해 네트워크의 자원 소모를 줄이고 공격성 패킷에 대해 샘플링을 통해 단계별로 서버 Backlog Queue가 50%일 때 점유 시간을 지연시키고, 70%일 때 차단 프로세스를 가동시켜 네트워크 서버의 Backlog Queue가 완전히 점유되기 전에 공격을 차단할 수 있는 방법을 제시하고, 실험으로 이를 입증하였다.