Procedimiento y sistema de defensa contra un ataque DDoS.

Un procedimiento de defensa contra un ataque distribuido de denegación de servicio

(DDoS), que comprende las etapas siguientes:

que un servidor objetivo de ataques (110) determine (S210) si el servidor objetivo de ataques está sufriendo el ataque DDoS desde una pluralidad de terminales (140, 150, 160, 170, 180, 190) e informe a un servidor de control (130) de que el servidor objetivo de ataques está sufriendo el ataque DDoS enviando información acerca del servidor objetivo de ataques, incluyendo su propia información TCP/IP o UDP/IP, al servidor de control basándose en el resultado de la determinación;

que el servidor de control que ha recibido la información acerca del servidor objetivo de ataques confirme que la pluralidad de terminales está transmitiendo datos al servidor objetivo de ataques, envíe datos al servidor objetivo de ataques y transmita (S220) un mensaje de prevención de ataque a la pluralidad de terminales confirmados;

que la pluralidad de terminales que hayan recibido el mensaje de prevención de ataque determinen si los terminales están enviando datos al servidor objetivo de ataques;

determinar, en función de información de un usuario de cualquiera de los terminales, si el terminal está transmitiendo datos al servidor objetivo de ataques según su intención;

si, aunque el usuario no haya emitido un comando para enviar los datos, se determina que el terminal está enviando los datos al servidor objetivo de ataques, que el terminal correspondiente determine que el envío de los datos es el ataque DDoS; y

que el terminal correspondiente que haya determinado que el envío de los datos es el ataque DDoS bloquee (S240) el envío de los datos al servidor objetivo de ataques.

Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E09011173.

Solicitante: ESTSOFT CORPORATION ESTSOFT R&D CENTER.

Nacionalidad solicitante: República de Corea.

Dirección: 867-12 BONGCHEON 4-DONG GWANAK-GU SEOUL 151-836 REPUBLICA DE COREA.

Inventor/es: KIM,JANG-JOONG.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/06 (caracterizadas por un protocolo)

PDF original: ES-2524716_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Procedimiento y sistema de defensa contra un ataque DDoS ANTECEDENTES DE LA INVENCIÓN

Referencia cruzada con solicitudes relacionadas

Esta solicitud reivindica el beneficio de la solicitud de patente coreana n.° 10-2008-0087234, presentada el 4 de septiembre de 2008.

Campo de la invención

La presente invención se refiere a un procedimiento y sistema de defensa contra un ataque distribuido de denegación de servicio (DDoS).

Antecedentes de la técnica relacionada

Un ataque DDoS se refiere a que varios ordenadores funcionan al mismo tiempo y atacan un sitio web específico.

En mayor detalle, un ataque DDoS es un esquema para distribuir un programa de ataque de denegación de servicio (DoS) que puede inundar numerosos ordenadores centrales, ¡nterconectados a través de una red, con paquetes en los ordenadores centrales provocando que los ordenadores centrales generen un lento funcionamiento de la red y la parálisis del sistema en un sistema objetivo de ataques de manera integrada. El ataque DoS se refiere a todas las acciones que colapsan el hardware o el software de un sistema objetivo de ataques, generando así problemas en un sistema que tiene un funcionamiento normal. Los procedimientos de ataque que permiten una gran variedad de ataques y que pueden obtener resultados inmediatos y notables pueden incluir, por ejemplo, Smurf, Trinoo e inundación SYN. Si un pirata informático instala herramientas para atacar servicios en varios ordenadores con el fin de atacar un sitio web específico e inunda simultáneamente un sistema informático del sitio web objetivo con una gran cantidad de paquetes que no pueden ser procesados por el sistema informático, el funcionamiento de una red se ralentiza o el sistema informático queda colapsado.

La posibilidad de ataques a través de una red es cada vez mayor debido al aumento de los sistemas distribuidos y a la proliferación de Internet. Para proteger los sistemas contra la amenaza de posibles ataques, un sistema convencional se defiende contra un ataque DDoS a través de un control de red basado en una red principal.

Sin embargo, los dispositivos de seguridad convencionales son problemáticos ya que no pueden detectar ataques en un terminal agente de ataque y no pueden hacer frente al foco origen correspondiente de manera apropiada y eficaz, incluso si se detectan tales ataques.

El documento US 2006/0143709 A1 muestra un sistema para evitar el ataque a una red con un ordenador que usa un programa de protección. El programa de protección transfiere un agente a cada uno o más nodos de la red en respuesta a un ataque dirigido a la red.

El documento A novelty approach to detecting DDoS attacks at an early stage" de Bin Xiao et al. en THE JOURNAL OF SUPERCOMPUTING, KLUWER ACADEMIC PUBLISHERS, BO, Vol. 36, n.° 3, 1 de junio de 2006, páginas 235 a 248, ISSN: 1573-0484, sugiere un procedimiento para detectar posibles ataques distribuidos de denegación de servicio. Este documento sugiere utilizar el hecho de que la mayoría de ataques DDoS utilizan el establecimiento de comunicación de tres vías descrito por el protocolo TCP para identificar los ataques.

RESUMEN DE LA INVENCIÓN

Por consiguiente, la presente invención se ha realizado en vista de los problemas anteriores que se producen en la técnica anterior, y es un objeto de la presente invención proporcionar un procedimiento de defensa contra un ataque DDoS que sea capaz de defender de manera eficaz contra un ataque DDoS.

Otro objeto de la presente invención es proporcionar un sistema de defensa contra un ataque DDoS que sea capaz de defender de manera eficaz contra un ataque DDoS.

Los objetos técnicos a conseguir por la presente invención no están limitados a los objetos mencionados anteriormente, y otros objetos técnicos que no se han mencionado anteriormente resultarán evidentes a los expertos en la técnica a partir de la siguiente descripción.

Para lograr los objetos anteriores se proporciona un procedimiento de defensa contra un ataque DDoS según la reivindicación 1 y un sistema de defensa contra un ataque DDoS según la reivindicación 5. Un aspecto de la presente invención comprende las etapas de que un servidor objetivo de ataques determine si está sufriendo un

ataque DDoS desde una pluralidad de terminales y, según el resultado de la determinación, informe a un servidor de control de que está sufriendo el ataque DDoS; que el servidor de control transmita un mensaje de prevención de ataque a la pluralidad de terminales; y que cada uno de la pluralidad de terminales que haya recibido el mensaje de prevención de ataque determine si está llevando a cabo el ataque DDoS y bloquee el ataque DDoS según el resultado de la determinación.

Para conseguir los objetos anteriores, un procedimiento de defensa contra un ataque DDoS según otro aspecto de la presente Invención comprende las etapas de que un servidor objetivo de ataques Informe a un servidor de control de que está sufriendo el ataque DDoS desde una pluralidad de terminales; que el servidor de control transmita un mensaje de prevención de ataque a la pluralidad de terminales; y que cada uno de la pluralidad de terminales que haya recibido el mensaje de prevención de ataque bloquee el ataque DDoS.

En este caso, la etapa en la que el servidor objetivo de ataques determina si está sufriendo el ataque DDoS desde la pluralidad de terminales puede comprender las etapas de fijar la cantidad de datos que puede procesarse, determinar si la cantidad de datos que debe procesarse supera la cantidad fijada de datos y, si como resultado de la determinación se determina que la cantidad de datos que debe procesarse supera la cantidad fijada de datos, considerar los datos que deben procesarse como el ataque DDoS.

Además, la etapa en la que el servidor objetivo de ataques informa al servidor de control de que está sufriendo el ataque DDoS puede comprender la etapa de informar al servidor de control de que está sufriendo el ataque DDoS transmitiendo su propia información al servidor de control. La etapa en la que el servidor de control transmite el mensaje de prevención de ataque a la pluralidad de terminales puede comprender la etapa de confirmar la pluralidad de terminales que transmiten datos al servidor objetivo de ataques y transmitir el mensaje de prevención de ataques a la pluralidad de terminales confirmados.

Además, la información del servidor objetivo de ataques puede incluir Información TCP/IP o UDP/IP.

El procedimiento puede comprender además la etapa de registrar la Información del servidor objetivo de ataques con el servidor de control. En este caso, la etapa en la que el servidor objetivo de ataques informa al servidor de control de que está sufriendo el ataque DDoS puede comprender la etapa de, si el servidor objetivo de ataques determina que está sufriendo el ataque DDoS, Informar al servidor de control de que está sufriendo el ataque DDoS enviando un comando acordado al servidor de control. La etapa en la que el servidor de control transmite el mensaje de prevención de ataque a la pluralidad de terminales puede comprender la etapa de que el servidor de control que ha recibido el comando acordado confirme la pluralidad de terminales, transmita datos al servidor objetivo de ataques y transmita el mensaje de prevención de ataque a la pluralidad de terminales confirmados.

Además, la etapa en la que cada uno de la pluralidad de terminales determina si está llevando a cabo el ataque DDoS puede comprender las etapas de, cuando se recibe el mensaje de prevención de ataque desde el servidor de control, determinar si está transmitiendo datos al servidor objetivo de ataques y, si como resultado de la determinación se determina que el terminal no transmite los datos al servidor... [Seguir leyendo]

 


Reivindicaciones:

1.- Un procedimiento de defensa contra un ataque distribuido de denegación de servicio (DDoS), que comprende las etapas siguientes:

que un servidor objetivo de ataques (110) determine (S210) si el servidor objetivo de ataques está sufriendo el ataque DDoS desde una pluralidad de terminales (140, 150, 160, 170, 180, 190) e informe a un servidor de control (130) de que el servidor objetivo de ataques está sufriendo el ataque DDoS enviando información acerca del servidor objetivo de ataques, incluyendo su propia información TCP/IP o UDP/IP, al servidor de control basándose en el resultado de la determinación;

que el servidor de control que ha recibido la información acerca del servidor objetivo de ataques confirme que la pluralidad de terminales está transmitiendo datos al servidor objetivo de ataques, envíe datos al servidor objetivo de ataques y transmita (S220) un mensaje de prevención de ataque a la pluralidad de terminales confirmados;

que la pluralidad de terminales que hayan recibido el mensaje de prevención de ataque determinen si los terminales están enviando datos al servidor objetivo de ataques;

determinar, en función de Información de un usuario de cualquiera de los terminales, si el terminal está transmitiendo datos al servidor objetivo de ataques según su intención;

si, aunque el usuario no haya emitido un comando para enviar los datos, se determina que el terminal está enviando los datos al servidor objetivo de ataques, que el terminal correspondiente determine que el envío de los datos es el ataque DDoS; y

que el terminal correspondiente que haya determinado que el envío de los datos es el ataque DDoS bloquee (S240) el envío de los datos al servidor objetivo de ataques.

2.- El procedimiento según la reivindicación 1, en el que la etapa en que el servidor objetivo de ataques determina si el servidor objetivo de ataques está sufriendo el ataque DDoS desde una pluralidad de terminales comprende las etapas de:

fijar una cantidad de datos que puede procesarse en el servidor objetivo de ataques;

determinar si una cantidad de datos que debe procesarse en el servidor objetivo de ataques supera la cantidad fijada de datos; y

si como resultado de la determinación se determina que la cantidad de datos que debe procesarse en el servidor objetivo de ataques supera la cantidad fijada de datos, considerar los datos que deben procesarse en el servidor objetivo de ataques como el ataque DDoS.

3.- El procedimiento según la reivindicación 1, en el que la información acerca del servidor objetivo de ataques comprende uno o más uno de entre información TCP/IP, información UDP/IP, un puerto y un protocolo del servidor objetivo de ataques.

4.- El procedimiento según la reivindicación 1, que comprende además la etapa de registrar la Información acerca del servidor objetivo de ataques con el servidor de control,

donde la etapa en la que el servidor objetivo de ataques informa al servidor de control de que el servidor objetivo de ataques está sufriendo el ataque DDoS comprende la etapa de, si el servidor objetivo de ataques determina que el servidor objetivo de ataques está sufriendo el ataque DDoS, informar al servidor de control de que el servidor objetivo de ataques está sufriendo el ataque DDoS enviando un comando acordado al servidor de control, y la etapa en la que el servidor de control envía el mensaje de prevención de ataque a la pluralidad de terminales comprende la etapa de que el servidor de control que ha recibido el comando acordado confirme la pluralidad de terminales que están enviando los datos al servidor objetivo de ataques y envíe el mensaje de prevención de ataque a la pluralidad de terminales confirmados.

5.- Un sistema de defensa contra un ataque DDoS, comprendiendo el sistema:

una pluralidad de terminales (140, 150, 160, 170, 180, 190); un servidor objetivo de ataques (110); y

un servidor de control (130) acoplado a la pluralidad de terminales y al servidor objetivo de ataques, donde el servidor de control comprende:

un módulo de recepción (420) configurado para recibir una solicitud para defender al servidor objetivo de ataques frente al ataque DDoS;

un módulo de solicitud de defensa (430) configurado para solicitar a la pluralidad de terminales, que están enviando datos al servidor objetivo de ataques, que eviten el ataque DDoS,

en el que cada uno de los terminales comprende:

un módulo de conexión (310) configurado para acceder al servidor de control y para transmitir su propia información al servidor de control a intervalos predeterminados;

un módulo de supervisión (320) configurado para gestionar información de acceso del terminal y para comprobar si se ha recibido una solicitud para evitar el ataque DDoS; y

un módulo de bloqueo (330) configurado para, cuando se recibe un mensaje de prevención de ataque desde el servidor de control, determinar si el terminal está enviando datos al servidor objetivo de 5 ataques en función de información de un usuario del terminal; si como resultado de la determinación se

determina que el terminal está enviando datos al servidor objetivo de ataques aunque el usuario del terminal no haya emitido un comando para enviar los datos, considerar que el envío de los datos es el ataque DDoS y bloquear el ataque DDoS.

6.- El sistema de defensa contra un ataque DDoS según la reivindicación 5, en el que el servidor de control

comprende:

un módulo de almacenamiento de información (410) configurado para almacenar información acerca de los terminales e información de acceso de los terminales.

7.- El sistema según la reivindicación 6, en el que la información del terminal comprende información acerca del terminal e información de acceso del terminal.