[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

WO2015174742A1 - 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템 - Google Patents

인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템 Download PDF

Info

Publication number
WO2015174742A1
WO2015174742A1 PCT/KR2015/004817 KR2015004817W WO2015174742A1 WO 2015174742 A1 WO2015174742 A1 WO 2015174742A1 KR 2015004817 W KR2015004817 W KR 2015004817W WO 2015174742 A1 WO2015174742 A1 WO 2015174742A1
Authority
WO
WIPO (PCT)
Prior art keywords
client terminal
dns
domain
server
public
Prior art date
Application number
PCT/KR2015/004817
Other languages
English (en)
French (fr)
Inventor
최종호
고승광
Original Assignee
주식회사 플랜티넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 플랜티넷 filed Critical 주식회사 플랜티넷
Publication of WO2015174742A1 publication Critical patent/WO2015174742A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Definitions

  • II-A A mirroring device provided to a backbone network of an Internet service provider (ISP) mirrors DNS request message traffic generated from a client terminal, and mirrors the mirrored DNS request message traffic. Mirroring the DNS request message traffic of the client terminal transmitting to the push server;
  • ISP Internet service provider
  • the push server checks whether the extracted domain is the domain being monitored by the push server, converts the domain name into the domain IP if it corresponds to the domain being monitored, and includes the extracted transaction ID and the converted domain IP. Generate a false DNS response message that generates a false DNS response, but generates a false DNS response message with the Time To Live (TTL) value in the Answers field set to the value specified by the push server (for example, 2 hours) and sends it to the client device.
  • TTL Time To Live
  • (IV-1) the push server transmitting to the analysis server DNS history information including a time for responding to a false DNS message, a domain requested by the client terminal, and a public IP address or ID value of the client terminal;
  • FIG. 8 is an operational state diagram illustrating a state in which a push server generates a false DNS response message and transmits it to a client terminal as a main progress step of performing a detection method according to the present invention.
  • the push server 220 parses the mirrored DNS request message traffic (see FIG. 7 illustrated) and checks whether it is a DNS request message and generates a false DNS response message. Extracts the Transaction ID and Domain Name as information, checks whether the extracted domain is the domain being monitored by the push server, converts the Domain Name to the domain IP if it corresponds to the domain being monitored, and extracts the extracted Transaction ID and the domain Generate a false DNS response (see Figure 9) that includes the IP, but set the Time To Live (TTL) value in the Answers field to the value specified by the push server (for example, 2 hours) (example: 10) time to generate and transmit to the client terminal (see FIG. 8), and respond to the false DNS message to the client terminal as a result, the client terminal The device transmits DNS history information including the requested domain and a public IP address or ID value of the client terminal to the analysis server 230.
  • TTL Time To Live
  • the push server 220 checks whether the extracted domain is the domain that the push server 220 is monitoring (preselects a certain number of domains such as portal sites with frequent Internet access in system design) (FIG. S410 of 3), if it corresponds to the domain being monitored, converts the domain name to the domain IP (S420 of FIG. 3), and generates a false DNS response containing the extracted Transaction ID and the translated domain IP, but with a TTL in the Answers field.
  • Generating a false DNS response message (refer to FIGS. 9 and 10) having a value of (Time To Live) set to a value specified by the push server (for example, 2 hours) (S430 of FIG. 3) and transmitting the same to the client terminal (S440).
  • Generating and transmitting a false DNS response message (S400); (See arrow 5 in Fig. 8)

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 사용자 클라이언트 단말의 대수를 검출하기 위한 것으로서, 일정 시간 동안에 분석 서버로 도달되는 DNS 요청 메시지의 숫자를 카운팅하여 공유기에 접속되는 클라이언트 단말의 댓수를 카운팅할 수 있도록 하는 검출 방법과 이 방법을 이용한 검출 시스템을 제공한다.

Description

인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 IP 공유 상태 검출 시스템
본 발명은 NAT 또는 인터넷 공유기와 같은 IP 주소 변환을 통한 IP 공유기를 이용하여 ISP가 제공하는 인터넷 서비스망에 다수의 단말기가 하나의 공인 IP를 공유하면서 접속하는 것에 대하여, 인터넷 서비스 가입자 중에서 사용자에게 허용된 회선을 초과하여 IP 공유기를 사용하여 다중 접속하는 가입자를 검출하기 위하여 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 IP 공유 상태 검출 시스템에 관한 것이다.
최근에는 여러 사용자 PC 등의 클라이언트 단말로써 네트워크를 동시에 사용하면서 IP 공유기를 사용하여 인터넷 서비스 가입자에 할당되는 하나의 공인 IP를 공유하면서 인터넷을 이용하는 경우가 매우 빈번하게 발생하고 있으며, 회사나 기업 내에서는 사내 네트워크와 외부 인터넷망 사이에 방화벽을 구축하기 위하여 라우터에 NAT(Network Address Translation)를 구성하고 내부적으로는 사설 IP를 사용하는 곳도 많이 늘어나는 추세이다.
한편, 기존의 인터넷 서비스 사업자(ISP: Internet Service Provider)들이 구축한 인프라에서 장비 및 망 유지비, 네트워크 속도 등의 자원은 한정되어 있는 반면에, NAT나 IP 공유기 등의 사용 빈도가 높아지면서 네트워크를 통하여 제공한 하나의 회선에 대해서 여러 사용자가 접속하게 되면서 무분별한 트래픽 증가가 발생하게 되었고, 이로 인해 1회선의 인터넷 공인 IP에 대하여 하나의 클라이언트 단말(PC 또는 스마트 단말기)만을 정상적으로 사용하는 사용자들이나, 인터넷을 사용하고자 하는 클라이언트 단말의 숫자만큼의 인터넷 공인 IP 회선을 신청하여 정상적으로 사용하는 사용자들이 상대적으로 그 피해를 감수하고 있는 상황이 전개되고 있다.
그러나, 이와 같이 인터넷 서비스 가입 회선에 따른 공인 IP 회선을 초과하는 수의 클라이언트 단말(사용자 단말기, 사용자 PC 또는 스마트 단말기)을 사용하고 있는 가입자를 정확히 파악하기 위해서는 실제 사용자 단말기(사용자 PC 또는 스마트 단말기)의 IP 주소를 추적하여야 하나, NAT 또는 IP 공유기 내부의 사용자의 실제 IP(사설 IP) 주소는 NAT 또는 IP 공유기를 통과할 때 공인 IP 주소로 변환이 되기 때문에, 사용자의 실제 IP주소를 외부에서는 파악할 수 없을 뿐만 아니라 특정 공인 IP에 대해 몇 개의 사설 IP가 공동으로 사용되고 있는지도 정확히 파악하기 어려운 문제점이 있다.
이러한 문제를 해결하기 위해서, TCP/IP 패킷을 분석하여 요청된 페이지에서 공유 대상자에 대하여 1차 도메인이 있는 도메인으로 접속하는 모든 세션을 리다이렉션하여, 특정 공인 IP(인터넷 IP)를 사용하는 사설 네트워크 내에서 사용자의 사설 IP를 파악해, 동시에 인터넷을 사용하고 있는 사용자 수를 정확히 알 수 있게 DB화하고, DB화 된 IP풀 정보와 작업(JOB)을 이용하여 사설 IP 사용자가 동시에 인터넷 접속을 할 경우 TCP/IP 기반에서 선별적 허용 및 차단하는 기술을 개시한 대한민국 특허등록 제 10-0723657호(2007. 5. 23. 공고)에서와 같이, 사용자 컴퓨터의 사설 IP를 얻기 위해서는 내부 네트워크 내의 사용자의 사설 IP 주소를 알려주는 별도의 애플릿(어플리케이션 프로그램)을 설치하고 웹 브라우저를 통해 인터넷에 접속하고자 하는 사용자 컴퓨터에서 별도로 설치된 애플릿(어플리케이션 프로그램)을 실행시켜야 하지만, 사용자가 이러한 애플릿의 설치나 작동 여부를 인지하고 삭제하거나 그 작동을 중지시킬 수 있기에 문제에 대한 근본적인 해결책을 제공하지는 못한다.
한편, 상기한 바와 같이 사설 IP를 취득하기 위한 별도의 애플릿을 사용자 단말에 설치하는 기술이 가진 문제점을 해결하기 위한 대안으로서 제시된 또 다른 종래 기술로서 대한민국 공개특허공보 제 10-2009-0041752호(2009. 4. 29. 공개)에 의해 공개된 기술에 따르면, 검출하고자 하는 여러 대의 단말기를 공유해서 사용하는 사설 네트워크 내의 클라이언트 측의 복수 단말기에 생성되는 웹 브라우저 쿠키(Cookie)를 이용한 정밀검출 알고리즘을 사용하여 클라이언트 측의 복수 단말기의 정확한 대수를 알아내는 기술을 이용하면서, DB화 된 쿠키(Cookie)풀 DB정보와 일정 시간 간격으로 작동하는 작업(JOB) 스케쥴러(Scheduler)를 이용하여 특정 공인 IP의 사설 네트워크 사용자가 허용 회선 수를 초과하여 동시에 인터넷 접속을 할 경우 TCP/IP 기반의 사설 네트워크 하에서 인터넷을 허용 및 차단하는 기술이 제시되었다.
그러나, 이러한 종래 기술에 따른 공유기 검출/차단 방법 또는 공유기 검출/차단 시스템에서는 공유기 과다 사용자의 검출을 위해 사용자 컴퓨터의 특정 영역에 저장되는 쿠키(Cookie)를 이용하고 있는데, 이러한 쿠키(Cookie)는 클라이언트 측에 지속성을 부여하기 위한 표준 HTTP 프로토콜 확장 기능을 위하여 웹 브라우저(즉, 어플리케이션단)에 의해 조작되도록 제공되는 것이나, 사용자 컴퓨터의 하드 디스크의 잘 알려진 장소에 저장되며 또한 대부분의 컴퓨터 사용자가 쿠키(Cookie)를 삭제하는 방법에 대해서 잘 알고 있을 뿐만 아니라, 쿠키가 축적되는 경우에는 오히려 인터넷 속도가 저하되는 문제점이 발생하여 일정 기간 이후에는 이들을 삭제하여 정리하는 기능을 웹 브라우저가 제공하기도 하는 바, 예컨대 하나의 공인 IP에 대하여 하나의 컴퓨터를 사용하는 경우(IP 공유기 등을 사용하지 않은 경우)에도 이와 같이 인터넷 접속 도중에 쿠키를 삭제한 상태에서 다시 웹 브라우저를 작동시켜서 웹 트래픽을 발생시키는 경우에는 종래 기술에 따른 차단 시스템에서는 이를 동일한 공인 IP를 가진 다른 컴퓨터에서 발생한 트래픽(즉, IP 공유기 등을 사용한 트래픽)으로 잘못 판단하여 이를 차단할 수 있는 문제점이 있으며, 이러한 문제점은 인터넷 서비스 제공자가 제공하는 서비스의 신뢰도에 대하여 큰 손상을 일으키게 된다.
또한, 이와 같은 쿠키는 웹 브라우저의 종류별(예컨대, Microsoft의 Internet Explorer, Google의 Chrome, Firefox, Opera, Safari 등)로 쿠키가 개별 관리되는 특성을 가지고 있기 때문에 1대의 단말기에서 여러 종류의 브라우저를 함께 사용하는 경우에는 브라우저별로 다른 단말기로 인식하여 단말의 대수를 과도하게 산정함으로써 정당한 인터넷 사용을 오차단하는 문제점을 가진다.
이러한 문제점을 개선하기 위한 방법으로서 등록특허 제10-108791호(2011. 11. 29. 공고)와 같이 쿠키를 사용하여 단말의 대수를 확인하는 단계에 추가하여서 단말의 특정한 위치에 이전에 생성된 Flash-Cookie가 존재하는지 확인하는 단계를 수행하도록 함으로써 웹 브라우저의 종속성을 극복하기 위한 노력이 시도되고 있으나, 이러한 방법에서 사용되는 Flash-Cookie의 저장 장소의 특정성(일정성)은 항상 유지되기 어렵고, 웹 브라우저와 같은 어플리케이션의 경우에는 제작사에서 브라우저를 새로이 만들거나 업데이트하면서 Flash-Cookie의 저장 장소의 위치 또는 호출 방법을 변경할 수 있으며, 이러한 변경 사항이 발생하는 경우에는 제2 웹 브라우저를 사용하는 경우에 제1 웹 브라우저에 의해 이미 저장된 Flash-Cookie의 호출에 실패함으로써 새로운 Flash-Cookie를 생성하게 되고, 그에 따라서 앞서 설명한 바와 같이 웹 브라우저에 따라서 별도의 단말 대수로 계산함으로써 단말 대수의 과도한 산정 결과가 발생할 우려가 있으며 이로 인하여 정당한 인터넷 사용자의 인터넷 사용을 오차단하는 사고가 발생할 수 있기에 인터넷 서비스 제공자(ISP)의 서비스 신뢰도 유지를 위해서는 공유기를 과도하게 사용하는 사용자의 단말을 검출하고 차단하는 업무를 수행하는 시스템 파트에서 지속적으로 웹 브라우저별로 Flash-Cookie의 저장 장소 또는 호출 방법 등의 관리 특성을 어떻게 변경하는지 지속적으로 모니터링하여야 한다는 부담을 가지게 된다.
본 발명은 이러한 종래 기술의 문제점을 해결하기 위한 수단으로서, 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법에 있어서,
(I) 클라이언트 단말이 웹 브라우저를 구동하여 인터넷상의 웹 사이트로 접속을 요청하는 경우에, 클라이언트 단말(PC, 스마트폰, 태블릿 PC, 스마트TV 등)에서 접속하고자 하는 웹 사이트 도메인(예컨대, www.naver.com)의 IP 주소를 알아내기 위해 DNS(Domain Name System; 네트워크에서 도메인이나 호스트 이름을 숫자로 된 IP 주소로 해석해주는 시스템) 서버로 DNS 요청 메시지를 전송하는 단계;
(II-A) 인터넷 서비스 제공자(ISP; Internet Service Provider)의 백 본 네트워크(Back Bone Network)에 제공되는 미러링 장치가 클라이언트 단말로부터 발생한 DNS 요청 메시지 트래픽을 미러링하고 그리고 상기 미러링된 DNS 요청 메시지 트래픽을 푸쉬 서버로 전송하는 클라이언트 단말의 DNS 요청 메시지 트래픽의 미러링 단계와;
(II-B) 상기 푸쉬 서버가 유입되는 상기 미러링된 DNS 요청 메시지 트래픽을 파싱(Parsing)하여 DNS 요청 메시지인지 확인하고, 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출하는 DNS 요청 메시지 정보 추출 단계와;
(III) 상기 푸쉬 서버는 추출된 도메인이 푸쉬 서버가 감시 중인 도메인인지 확인하고, 감시 중인 도메인에 해당하는 경우에 도메인 Name을 도메인 IP로 변환하고, 추출된 Transaction ID와 변환된 도메인 IP를 포함하는 거짓 DNS 응답을 생성하되 Answers 필드의 TTL(Time To Live) 값을 푸쉬 서버에서 지정하는 값(예컨대, 2시간)으로 설정한 거짓 DNS 응답 메시지를 생성하여 클라이언트 단말로 전송하는 거짓 DNS 응답 메시지 생성 및 전송 단계와;
(IV-1) 상기 푸쉬 서버는 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버로 전송하는 단계와;
(IV-2) 클라이언트 단말이 상기 거짓 DNS 메시지를 수신하게 되면 접속하고자 하는 웹 사이트 도메인으로 접속하고, 그리고 푸쉬 서버에서 지정한 시간(TTL 값) 동안 해당 도메인에 대해서 DNS 요청 메시지를 발생시키지 않도록 푸쉬 서버에서 지정한 시간(TTL 값) 만큼 오퍼레이팅 시스템의 커널단에 해당 도메인의 DNS 해석 결과인 IP 주소를 저장하는 도메인 IP 주소의 클라이언트 단말의 오퍼레이팅 시스템 커널단 저장 단계와;
(V) 상기 분석 서버는 푸쉬 서버로부터 수신한 거짓 DNS 메시지를 클라이언트 단말에 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 또는 ID 값을 포함하는 DNS 이력 정보를 제1 DB 서버에 저장하는 DB 서버의 DNS 이력 정보 저장 단계와;
(VI) 상기 분석 서버는 제1 DB 서버에 저장된 정보를 이용하여 클라이언트 단말이 푸쉬 서버에서 지정한 시간(TTL 값, 예컨대 2시간) 동안 동일한 도메인과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하여 공유기를 통하여 연결되어 동일한 공인 IP 주소를 사용하는 클라이언트 단말의 디바이스의 대수를 산출하는 클라이언트 단말의 디바이스 대수 산출 단계를 포함하여 이루어지는 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법을 제공한다.
여기에서, 클라이언트 단말에서는 오퍼레이팅 시스템의 커널단에 해당 도메인의 DNS 해석 결과인 IP 주소가 저장된 경우에 이를 이용하여 해당 도메인에 접속하고 DNS 요청 메시지를 발생하지 않게 된다.
따라서, 1대의 클라이언트 단말 디바이스에서는 동일한 도메인에 대해서 푸쉬 서버에서 지정된 시간(TTL 값) 동안은 1회 이상 DNS 요청 메시지를 전송할 수 없으며, 이로써 지정된 시간 동안 동일한 도메인과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하게 되면 공인 IP 주소를 공유하며 일정 시간 동안 동일한 도메인으로 인터넷 접속을 수행한 클라이언트 단말의 디바이스 대수를 파악할 수 있게 된다.
한편, 상기 DNS 이력 정보를 분석 서버로 전송하는 단계에서 푸쉬 서버는 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버로 전송하게 되는데, 이 때 클라이언트 단말의 IP 대신에 ID 값을 분석 서버로 전송하려면 실시간 사용자 IP 할당 내역 정보를 제2 DB 서버로부터 제공받아야 가능하게 된다. 이러한 제2 DB 서버는 상술한 제1 DB 서버와 구별되는 기능을 제공하지만 물리적으로는 통합되어 구성될 수 있으며, 이와 달리 물리적으로 분리되어 별도로 구성될 수도 있다.
또한, 본 발명은 다른 발명의 카테고리의 관점에서, 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 사용자 클라이언트 단말의 대수를 검출하기 위한 것으로서,
인터넷 서비스 가입자의 클라이언트 단말이 웹 브라우저를 구동하여 인터넷상의 웹 사이트로 접속을 요청하는 경우에 접속하려는 웹 사이트의 IP 주소를 획득하기 위하여 클라이언트 단말로부터 DNS 서버 측으로 발생하는 DNS 요청 메시지 트래픽을 미러링하기 위한 것으로서 인터넷 서비스 제공자(ISP)의 백 본 네트워크(Backbone Network)에 위치하는 미러링 장치와;
미러링되어 유입되는 상기 DNS 요청 메시지 트래픽을 파싱(Parsing)하여 DNS 요청 메시지인지 확인하고, 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출하며, 추출된 도메인이 푸쉬 서버가 감시 중인 도메인인지 확인하고, 감시 중인 도메인에 해당하는 경우에 도메인 Name을 도메인 IP로 변환하고, 추출된 Transaction ID와 변환된 도메인 IP를 포함하는 거짓 DNS 응답을 생성하되 Answers 필드의 TTL(Time To Live) 값을 사전 지정된 값으로 설정한 거짓 DNS 응답 메시지를 생성하여 클라이언트 단말로 전송하고서, 그 결과에 해당하는 사항으로서 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버로 전송하는 푸쉬 서버와;
상기 푸쉬 서버로부터 수신한 거짓 DNS 메시지를 클라이언트 단말에 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 IP 또는 ID 값을 포함하는 DNS 이력 정보를 제1 DB 서버에 저장하고, 제1 DB 서버에 저장된 정보를 이용하여 클라이언트 단말이 푸쉬 서버에서 지정한 시간(TTL 값) 동안 동일한 도메인과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하여 공유기를 통하여 연결되어 동일한 공인 IP 주소를 사용하는 클라이언트 단말의 디바이스의 대수를 산출하는 분석 서버를 포함하여 이루어지는 공인 IP 공유 상태 검출 시스템을 제공하기도 한다.
본 발명에 따르면 공유기 등을 통하여 동일한 공인 IP를 사용하면서 인터넷에 접속하는 클라이언트 단말에서 보다 정확한 공유기 과다 사용 상태를 검출할 수 있도록 하는데, 특히 검출하는 단계에서 오퍼레이팅 시스템의 커널단에 정하여진 시간 동안 저장되는 DNS 해석 결과는 쿠키(Cookie)와 달리 사용자에 의해 쉽게 삭제될 수 있는 성질의 것이 아니기에 종래 기술과 같이 쿠키 삭제에 의하여 단말의 대수가 과도하게 계산되어서 회선 초과로 잘못 판단하여 인터넷 사용을 오차단하는 경우가 발생하는 것을 방지하는 효과가 있다.
그리고, 일반적인 쿠키가 가진 웹 브라우저의 종속성 문제를 해결하기 위하여 추가적으로 제시된 플래쉬 쉐어드 오브젝트('Flash Shared Object', Flash-Cookie라고 칭함)를 검출자로서 사용하는 검출 방법 및 검출 시스템에서는 시스템 운영자가 Flash-Cookie의 저장 장소의 특정성(일정성)이 유지되고 있는지 각각의 웹 브라우저를 통한 트래픽에 대하여 계속적으로 시험하고 지속적으로 모니터링하여야 하는 부담이 있는 반면에, 본 발명에 따르면 오퍼레이팅 시스템에서의 변화가 없다면 커널단에 거짓 DNS 응답 메시지를 저장하는 방법의 유효성을 일정하게 유지할 수 있기에 공유기 과다 사용 검출 시스템을 운영하는데 있어서 유지 관리 부담과 운영 비용을 절감할 수 있도록 하면서도 오검출 확률을 낮추는 효과를 제공한다.
도 1은 본 발명에 따른 검출 시스템의 전체 구성도이고,
도 2는 본 발명에 따른 방법 발명의 진행 상태를 도시한 도면으로서 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법의 전체 순서도이고, 도 3은 푸쉬 서버에서 수행되는 거짓 DNS 응답 메시지 생성 및 전송 단계의 세부 진행 순서도이다.
도 4는 본 발명에 따른 검출 방법을 수행하는 첫번째 단계로서 클라이언트 단말에서 특정 도메인에 접속하기 위하여 DNS 요청 트래픽을 생성하는 상태를 도시한 작동 상태도이고,
도 5는 도 4의 단계 이후의 단계의 작동 상태를 도시한 것으로서 DNS 요청 메시지 트래픽을 미러링하고 그리고 미러링된 DNS 요청 메시지 트래픽을 푸쉬 서버로 전송하는 상태를 도시한 작동 상태도이다.
도 6은 다음으로 미러링된 DNS 요청 메시지 트래픽을 파싱하여 DNS 요청 메시지 정보를 추출하는 상태를 도시한 작동 상태도이다.
도 7은 DNS 요청 메시지 트래픽의 일 예를 나타내는 도면이고,
도 8은 본 발명에 따른 검출 방법을 수행하는 주요 진행 단계로서 푸쉬 서버가 거짓 DNS 응답 메시지를 생성하여 클라이언트 단말로 전송 하는 상태를 도시한 작동 상태도이다.
도 9는 DNS 요청 메시지 트래픽으로부터 추출된 정보로 만들어진 거짓 DNS 응답 메시지 트래픽의 일 예를 나타내는 도면이고, 도 10에서는 Answers 필드의 TTL (Time to Live)이 2 hours로 설정된 것을 보다 명확하게 도시하고 있다.
도 11은 푸쉬 서버가 DNS 이력 정보를 분석 서버로 전송하고, 분석 서버는 푸쉬 서버로부터 수신한 DNS 이력 정보를 제1 DB 서버에 저장하는 과정을 도시한 작동 상태도이다.
도 12는 분석 서버가 제1 DB 서버에 저장된 DNS 이력 정보를 활용하여 동일한 공인 IP 주소를 사용하는 클라이언트 단말의 디바이스의 대수를 산출하는 과정의 일 예를 모식적으로 도시한 작동 상태도이고, 도 13은 실시간 사용자 IP 할당 내역을 제공받는 과정이 추가된 실시예의 작동 상태도이다.
도 14는 클라이언트 단말이 거짓 DNS 메시지를 수신하게 되면 푸쉬 서버에서 지정한 시간 동안 해당 도메인에 대해서 DNS 요청 메시지를 발생시키지 않도록 푸쉬 서버에서 지정한 시간만큼 오퍼레이팅 시스템의 커널단에 해당 도메인의 DNS 해석 결과인 IP 주소를 저장하고, 접속하고자 하는 웹 사이트 도메인으로 접속하는 과정을 도시한 작동 상태도이다.
이하에서는 첨부 도면을 참조하여, 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 대수를 검출하기 위하여 제공되는 본 발명의 바람직한 실시예에 대하여 살펴보기로 한다.
첨부 도면 도 1과 그리고 도 2 및 도 3에 도시된 기본 구조도 및 순서도와 더불어서 도 4 내지 도 14에 도시된 도면들을 참조하여, 먼저 본 발명에 따른 공인 IP 공유 상태 검출 시스템의 바람직한 일 실시예에 대하여 살펴보기로 한다.
도 1에 도시된 바와 같이, 본 발명에 따른 공인 IP 공유 상태 검출 시스템(200)의 바람직한 일 실시예는 미러링 장치(210), 푸쉬 서버(220), 분석 서버(230), 제1 DB 서버(240), 및 추가적으로 제2 DB 서버(도 13 참조)를 포함하여 이루어지는데, 보다 구체적으로 살펴보면,
상기 미러링 장치(210)는, 인터넷 서비스 가입자의 클라이언트 단말(PC-1, PC-2, Smart Phone-1, Smart TV-1)이 웹 브라우저를 구동하여 인터넷(300)상의 웹 사이트(예컨대, www.naver.com)로 접속을 요청하는 경우에 접속하려는 웹 사이트의 IP 주소를 획득하기 위하여 클라이언트 단말로부터 DNS 서버 측으로 발생하는 DNS 요청 메시지 트래픽(도 4 참조)을 미러링(도 5 참조)하기 위한 것으로서 인터넷 서비스 제공자(ISP; Internet Service Provider)의 백 본 네트워크(Backbone Network)에 위치하는 장치이고,
상기 푸쉬 서버(220)는, 미러링되어 유입되는 상기 DNS 요청 메시지 트래픽(예시된 도 7 참조)을 파싱(Parsing)하여(도 6 참조) DNS 요청 메시지인지 확인하고, 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출하며, 추출된 도메인이 푸쉬 서버가 감시 중인 도메인인지 확인하고, 감시 중인 도메인에 해당하는 경우에 도메인 Name을 도메인 IP로 변환하고, 추출된 Transaction ID와 변환된 도메인 IP를 포함하는 거짓 DNS 응답(예시된 도 9 참조)을 생성하되 Answers 필드의 TTL(Time To Live) 값을 푸쉬 서버에서 지정하는 값(예컨대, 2시간)으로 설정한 거짓 DNS 응답 메시지(예시된 도 10 참조)를 생성하여 클라이언트 단말로 전송하고서(도 8 참조), 그 결과에 해당하는 사항으로서 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송하는 장치이다.
그리고, 상기 분석 서버(230)는 상기 푸쉬 서버(220)로부터 수신한 거짓 DNS 메시지를 클라이언트 단말에 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 IP 또는 ID 값을 포함하는 DNS 이력 정보를 제1 DB 서버(240)에 저장하고, 제1 DB 서버(240)에 저장된 정보를 이용하여 클라이언트 단말이 푸쉬 서버(220)에서 지정한 시간(TTL 값, 예컨대 2시간) 동안 동일한 도메인과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하여 공유기(100)를 통하여 연결되어 동일한 공인 IP 주소를 사용하는 클라이언트 단말의 디바이스의 대수를 산출하는 장치이다.
한편, 푸쉬 서버(210)가 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송할 때, 클라이언트 단말의 IP 대신에 ID 값을 분석 서버(230)로 전송하려면 실시간 사용자 IP 할당 내역 정보를 제공하여 주는 추가적인 DB 서버를 구비하고 있어야 하는데, 이는 앞서 설명된 제1 DB 서버(240)와는 다른 기능을 제공하는 것이기에 그 명칭을 제2 DB 서버로 칭하는데, 이러한 제2 DB 서버는 상술한 제1 DB 서버(240)와 물리적으로는 통합되어 구성될 수 있으며, 이와 달리 물리적으로 분리되어 별도로 구성될 수도 있다.
여기에서, 클라이언트 단말에서는 오퍼레이팅 시스템의 커널단에 해당 도메인의 DNS 해석 결과인 IP 주소가 저장된 경우에는 이를 이용하여 해당 도메인에 접속하고 DNS 요청 메시지를 더 이상 발생하지 않게 된다.
따라서, 1대의 클라이언트 단말 디바이스에서는 동일한 도메인(예컨대, www.naver.com)에 대해서 푸쉬 서버(210)에서 지정된 시간(TTL 값; 예컨대 2 시간) 동안은 1회 이상 DNS 요청 메시지를 전송할 수 없으며, 이로써 지정된 시간 동안 동일한 도메인과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하게 되면 공인 IP 주소를 공유하며 일정 시간 동안 동일한 도메인으로 인터넷 접속을 수행한 클라이언트 단말의 디바이스 대수를 파악할 수 있게 된다. 이러한 분석 결과를 상당 기간 동안 업데이트하면서 확보하게 되면 공유기 등을 통하여 동일한 공인 IP로 접속하는 사설 네트워크 상의 클라이언트 단말의 대수의 최소값(최소 몇 대를 공유기에 연결하여 사용중인 상태)을 파악할 수 있게 된다.
본 발명에 따른 방법 발명과 관련하여서 도 2 및 도 3의 순서도와, 그리고 도 1에 도시된 공인 IP 공유 상태 검출 시스템(200)의 작동 상태를 구체적으로 도시한 도 4 내지 도 14에 도시된 바와 같은 구체적인 방법의 바람직한 실시예에 따르면, 본 발명은 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 대수를 검출하는 방법에 있어서,
(I) 클라이언트 단말이 웹 브라우저를 구동하여 인터넷상의 웹 사이트로 접속을 요청하는 경우에, 클라이언트 단말(PC, 스마트폰, 태블릿 PC, 스마트TV 등)에서 접속하고자 하는 웹 사이트 도메인(예컨대, www.naver.com)의 IP 주소를 알아내기 위해 DNS(Domain Name System; 네트워크에서 도메인이나 호스트 이름을 숫자로 된 IP 주소로 해석해주는 시스템) 서버(310)로 DNS 요청 메시지를 전송하는 단계(S100)와; (도 4의 화살표 ① 및 ② 참조)
(II-A) 인터넷 서비스 제공자(ISP; Internet Service Provider)의 백 본 네트워크(Back Bone Network)에 제공되는 미러링 장치(210)가 클라이언트 단말로부터 발생한 DNS 요청 메시지 트래픽을 미러링하고 그리고 상기 미러링된 DNS 요청 메시지 트래픽을 푸쉬 서버(220)로 전송하는 클라이언트 단말의 DNS 요청 메시지 트래픽의 미러링 단계(S200)와; (도 5의 화살표 ③ 참조)
(II-B) 상기 푸쉬 서버(220)가 유입되는 상기 미러링된 DNS 요청 메시지 트래픽(도 7 참조)을 파싱(Parsing)하여(S310) DNS 요청 메시지인지 확인하고(s320), 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출하는(S330) DNS 요청 메시지 정보 추출 단계(S300)와; (도 6의 화살표 ④ 참조)
(III) 상기 푸쉬 서버(220)는 추출된 도메인이 푸쉬 서버(220)가 감시 중인 도메인(시스템 설계 시에 인터넷 접속이 빈번한 포털 사이트와 같은 일정 수의 도메인을 사전 선정함)인지 확인하고(도 3의 S410), 감시 중인 도메인에 해당하는 경우에 도메인 Name을 도메인 IP로 변환하고(도 3의 S420), 추출된 Transaction ID와 변환된 도메인 IP를 포함하는 거짓 DNS 응답을 생성하되 Answers 필드의 TTL(Time To Live) 값을 푸쉬 서버에서 지정하는 값(예컨대, 2시간)으로 설정한 거짓 DNS 응답 메시지(도 9, 도 10 참조)를 생성하여(도 3의 S430) 클라이언트 단말로 전송하는(S440) 거짓 DNS 응답 메시지 생성 및 전송 단계(S400)와; (도 8의 화살표 ⑤ 참조)
(IV-1) 상기 푸쉬 서버(220)는 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송하는 단계(S500)와; (도 11의 화살표 ⑥ 참조)
(IV-2) 클라이언트 단말이 상기 거짓 DNS 메시지를 수신하게 되면 접속하고자 하는 웹 사이트 도메인으로 접속하고(도 14의 화살표 ⑥' 참조), 그리고 푸쉬 서버에서 지정한 시간(TTL 값) 동안 해당 도메인에 대해서 DNS 요청 메시지를 발생시키지 않도록 푸쉬 서버에서 지정한 시간(TTL 값) 만큼 오퍼레이팅 시스템의 커널단에 해당 도메인의 DNS 해석 결과인 IP 주소를 저장(도 14의 화살표 ⑥" 참조)하는 도메인 IP 주소의 클라이언트 단말의 오퍼레이팅 시스템 커널단 저장 단계(SC500)와;
(V) 상기 분석 서버(230)는 푸쉬 서버(220)로부터 수신한 거짓 DNS 메시지를 클라이언트 단말에 응답한 시간, 클라이언트 단말이 요청한 도메인(www.naver.com), 및 클라이언트 단말의 공인 IP(Ip-Addr1) 또는 ID(USER-1) 값을 포함하는 DNS 이력 정보를 제1 DB 서버(240)에 저장하는 DB 서버의 DNS 이력 정보 저장 단계(S600)와; (도 11의 화살표 ⑦ 참조)
(VI) 상기 분석 서버(230)는 제1 DB 서버(240)에 저장된 정보를 이용하여 클라이언트 단말이 푸쉬 서버(220)에서 지정한 시간(TTL 값, 예컨대 2시간) 동안 동일한 도메인과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하여 공유기를 통하여 연결되어 동일한 공인 IP 주소를 사용하는 클라이언트 단말의 디바이스의 대수를 산출하는 클라이언트 단말의 디바이스 대수 산출 단계(S700)(도 12의 화살표 ⑧-1 및 도 13의 화살표 ⑧-2 참조)를 포함하여 이루어지는 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법을 제공한다.
한편으로, 상기 DNS 요청 메시지 정보 추출 단계(S300)를 구성하는 하나의 세부 단계로서 DNS 요청 메시지인지 확인하는 단계(s320)는 DNS 요청 메시지 포맷이 정상인지를 확인하고, DNS 요청 메시지의 필드 값(예컨대, Flags 필드의 Response 값=0, Flags 필드의 Opcode 값=0, Questions 필드의 값=1, Queries 필드의 Type 값=1, Queries 필드의 Class 값=1)들을 확인함으로써 수행될 수 있다.
그리고, 클라이언트 단말에서는 오퍼레이팅 시스템의 커널단에 해당 도메인의 DNS 해석 결과인 IP 주소가 저장된 경우에는 이를 이용하여 해당 도메인에 접속하고 DNS 요청 메시지를 발생하지 않게 된다.
따라서, 1대의 클라이언트 단말 디바이스에서는 동일한 도메인에 대해서 푸쉬 서버에서 지정된 시간(TTL 값) 동안은 1회 이상 DNS 요청 메시지를 전송할 수 없으며, 그리하여 분석 서버(230)는 도 12 및 도 13에 도시된 바와 같이 제1 DB 서버(240)에 저장된 정보를 이용하여 지정된 시간 동안 동일한 도메인(www.naver.com)과 클라이언트 단말의 동일한 공인 IP 주소(IP-Addr1)로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하게 되면 공인 IP 주소를 공유하며 일정 시간 동안 동일한 도메인으로 인터넷 접속을 수행한 클라이언트 단말의 디바이스 대수를 파악할 수 있게 된다.
한편, 상기 DNS 이력 정보를 분석 서버로 전송하는 단계(S500)에서 푸쉬 서버(220)는 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송하게 되는데, 이 때 클라이언트 단말의 IP 대신에 ID 값을 분석 서버(230)로 전송하려면 도 13에 도시된 바와 같이 실시간 사용자 IP 할당 내역 정보를 제2 DB 서버로부터 제공받아야 가능하게 된다.
본 발명을 구체적인 실시예를 통하여 설명하기 위하여 도 7과 도 9 및 도 10에 예시된 DNS 요청 메시지와 거짓 DNS 응답 메시지들은 이들은 하나의 예시에 불과하기에 다른 형태로 대체 제공됨이 가능함을 당업자라면 누구라도 이해할 수 있을 것이며, 본 발명에 따른 여러 실시예들은 단지 본 발명의 이해를 돕기 위한 예시 목적으로 제시된 것으로 본 발명은 이에 국한되지 않으며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 첨부된 특허청구범위에 기재된 기술 사상의 범주 내에서 다양한 변경 및 실시가 가능할 것이다.

Claims (5)

  1. 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 대수를 검출하는 방법에 있어서,
    (I) 클라이언트 단말이 웹 브라우저를 구동하여 인터넷상의 웹 사이트로 접속을 요청하는 경우에, 클라이언트 단말(PC, 스마트폰, 태블릿 PC, 스마트TV 등)에서 접속하고자 하는 웹 사이트 도메인(예컨대, www.naver.com)의 IP 주소를 알아내기 위해 DNS(Domain Name System; 네트워크에서 도메인이나 호스트 이름을 숫자로 된 IP 주소로 해석해주는 시스템) 서버(310)로 DNS 요청 메시지를 전송하는 단계(S100)와;
    (II-A) 인터넷 서비스 제공자(ISP; Internet Service Provider)의 백 본 네트워크(Back Bone Network)에 제공되는 미러링 장치(210)가 클라이언트 단말로부터 발생한 DNS 요청 메시지 트래픽을 미러링하고 그리고 상기 미러링된 DNS 요청 메시지 트래픽을 푸쉬 서버(220)로 전송하는 클라이언트 단말의 DNS 요청 메시지 트래픽의 미러링 단계(S200)와;
    (II-B) 상기 푸쉬 서버(220)가 유입되는 상기 미러링된 DNS 요청 메시지 트래픽을 파싱(Parsing)하여(S310) DNS 요청 메시지인지 확인하고(s320), 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출하는(S330) DNS 요청 메시지 정보 추출 단계(S300)와;
    (III) 상기 푸쉬 서버(220)는 추출된 도메인이 푸쉬 서버(220)가 감시 중인 도메인인지 확인하고(도 3의 S410), 감시 중인 도메인에 해당하는 경우에 도메인 Name을 도메인 IP로 변환하고(S420), 추출된 Transaction ID와 변환된 도메인 IP를 포함하는 거짓 DNS 응답을 생성하되 Answers 필드의 TTL(Time To Live) 값을 푸쉬 서버에서 지정하는 값으로 설정한 거짓 DNS 응답 메시지를 생성하여(S430) 클라이언트 단말로 전송하는(S440) 거짓 DNS 응답 메시지 생성 및 전송 단계(S400)와;
    (IV-1) 상기 푸쉬 서버(220)는 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송하는 단계(S500)와;
    (IV-2) 클라이언트 단말이 상기 거짓 DNS 메시지를 수신하게 되면 접속하고자 하는 웹 사이트 도메인으로 접속하고, 그리고 푸쉬 서버에서 지정한 시간(TTL 값) 동안 해당 도메인에 대해서 DNS 요청 메시지를 발생시키지 않도록 푸쉬 서버에서 지정한 시간(TTL 값) 만큼 오퍼레이팅 시스템의 커널단에 해당 도메인의 DNS 해석 결과인 IP 주소를 저장하는 도메인 IP 주소의 클라이언트 단말의 오퍼레이팅 시스템 커널단 저장 단계(SC500)와;
    (V) 상기 분석 서버(230)는 푸쉬 서버(220)로부터 수신한 거짓 DNS 메시지를 클라이언트 단말에 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 또는 ID 값을 포함하는 DNS 이력 정보를 제1 DB 서버(240)에 저장하는 DB 서버의 DNS 이력 정보 저장 단계(S600)와;
    (VI) 상기 분석 서버(230)는 제1 DB 서버(240)에 저장된 정보를 이용하여 클라이언트 단말이 푸쉬 서버(220)에서 지정한 시간(TTL 값) 동안 동일한 도메인과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하여 공유기를 통하여 연결되어 동일한 공인 IP 주소를 사용하는 클라이언트 단말의 디바이스의 대수를 산출하는 클라이언트 단말의 디바이스 대수 산출 단계(S700)를 포함하여 이루어지는 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법.
  2. 제1항에 있어서, 상기 DNS 요청 메시지 정보 추출 단계(S300)를 구성하는 하나의 세부 단계로서 DNS 요청 메시지인지 확인하는 단계(s320)는 DNS 요청 메시지 포맷이 정상인지를 확인하고, DNS 요청 메시지의 필드 값들을 확인함으로써 수행되는 것을 특징으로 하는 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법.
  3. 제1항에 있어서, 상기 DNS 이력 정보를 분석 서버로 전송하는 단계(S500)에서 푸쉬 서버(220)는 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송하게 되는데, 이 때 클라이언트 단말의 ID 값을 분석 서버(230)로 전송하도록 제2 DB 서버로부터 실시간 사용자 IP 할당 내역 정보를 제공받는 것을 특징으로 하는 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법.
  4. 동일한 공인 IP를 이용하는 사설 네트워크상의 복수개의 사용자 클라이언트 단말의 대수를 검출하기 위한 것으로서,
    인터넷 서비스 가입자의 클라이언트 단말(PC-1, PC-2, Smart Phone-1, Smart TV-1)이 웹 브라우저를 구동하여 인터넷(300)상의 웹 사이트로 접속을 요청하는 경우에 접속하려는 웹 사이트의 IP 주소를 획득하기 위하여 클라이언트 단말로부터 DNS 서버 측으로 발생하는 DNS 요청 메시지 트래픽을 미러링하기 위한 것으로서 인터넷 서비스 제공자(ISP)의 백 본 네트워크(Backbone Network)에 위치하는 미러링 장치(210)와;
    미러링되어 유입되는 상기 DNS 요청 메시지 트래픽을 파싱(Parsing)하여 DNS 요청 메시지인지 확인하고, 거짓 DNS 응답 메시지의 생성에 필요한 정보로서 Transaction ID와 도메인 Name을 추출하며, 추출된 도메인이 푸쉬 서버가 감시 중인 도메인인지 확인하고, 감시 중인 도메인에 해당하는 경우에 도메인 Name을 도메인 IP로 변환하고, 추출된 Transaction ID와 변환된 도메인 IP를 포함하는 거짓 DNS 응답을 생성하되 Answers 필드의 TTL(Time To Live) 값을 사전 지정된 값으로 설정한 거짓 DNS 응답 메시지를 생성하여 클라이언트 단말로 전송하고서, 그 결과에 해당하는 사항으로서 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송하는 푸쉬 서버(220)와;
    상기 푸쉬 서버(220)로부터 수신한 거짓 DNS 메시지를 클라이언트 단말에 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 IP 또는 ID 값을 포함하는 DNS 이력 정보를 제1 DB 서버(240)에 저장하고, 제1 DB 서버(240)에 저장된 정보를 이용하여 클라이언트 단말이 푸쉬 서버(220)에서 지정한 시간(TTL 값) 동안 동일한 도메인과 클라이언트 단말의 동일한 ID 또는 공인 IP 주소로써 DNS 요청 메시지를 전송한 최대 횟수를 카운팅하여 공유기(100)를 통하여 연결되어 동일한 공인 IP 주소를 사용하는 클라이언트 단말의 디바이스의 대수를 산출하는 분석 서버(230)를 포함하여 이루어지는 공인 IP 공유 상태 검출 시스템.
  5. 제4항에 있어서, 상기 푸쉬 서버(210)가 클라이언트 단말에게 거짓 DNS 메시지를 응답한 시간, 클라이언트 단말이 요청한 도메인, 및 클라이언트 단말의 공인 IP 주소 또는 ID 값을 포함하는 DNS 이력 정보를 분석 서버(230)로 전송할 때, 클라이언트 단말의 ID 값을 분석 서버(230)로 전송하도록 실시간 사용자 IP 할당 내역 정보를 제공하여 주는 제2 DB 서버를 추가적으로 포함하여 이루어지는 것을 특징으로 하는 공인 IP 공유 상태 검출 시스템.
PCT/KR2015/004817 2014-05-14 2015-05-14 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템 WO2015174742A1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020140057940A KR101518468B1 (ko) 2014-05-14 2014-05-14 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템
KR10-2014-0057940 2014-05-14

Publications (1)

Publication Number Publication Date
WO2015174742A1 true WO2015174742A1 (ko) 2015-11-19

Family

ID=53394131

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2015/004817 WO2015174742A1 (ko) 2014-05-14 2015-05-14 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템

Country Status (3)

Country Link
KR (1) KR101518468B1 (ko)
TW (1) TWI590616B (ko)
WO (1) WO2015174742A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105939231A (zh) * 2016-05-16 2016-09-14 杭州迪普科技有限公司 共享接入检测方法和共享接入检测装置
CN107341651A (zh) * 2016-04-28 2017-11-10 阿里巴巴集团控股有限公司 交易数据关联方法、ip获取方法、交易服务器及终端

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106982149B (zh) * 2016-12-29 2019-10-01 中国银联股份有限公司 基于sdn的报文镜像方法及网络流量监控管理系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070022984A (ko) * 2005-08-23 2007-02-28 주식회사 네이블커뮤니케이션즈 Ip 주소를 공유하는 통신 단말들을 검출하는 가입자 관리시스템 및 방법
KR20100040631A (ko) * 2008-10-10 2010-04-20 플러스기술주식회사 트래픽을 분석하여 nat 사용 여부 판단 및 공유대수 분석 및 검출방법과 그에 따른 사설 네트워크 하에서 동시에 인터넷을 사용할 수 있는 사용자 pc를 선별적으로허용 및 차단하는 방법
KR101002421B1 (ko) * 2010-04-09 2010-12-21 주식회사 플랜티넷 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유 상태 검출 및 차단 시스템
KR101047997B1 (ko) * 2010-12-07 2011-07-13 플러스기술주식회사 네트워크 패킷을 이용한 공유 단말 구분 시스템 및 처리 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070022984A (ko) * 2005-08-23 2007-02-28 주식회사 네이블커뮤니케이션즈 Ip 주소를 공유하는 통신 단말들을 검출하는 가입자 관리시스템 및 방법
KR20100040631A (ko) * 2008-10-10 2010-04-20 플러스기술주식회사 트래픽을 분석하여 nat 사용 여부 판단 및 공유대수 분석 및 검출방법과 그에 따른 사설 네트워크 하에서 동시에 인터넷을 사용할 수 있는 사용자 pc를 선별적으로허용 및 차단하는 방법
KR101002421B1 (ko) * 2010-04-09 2010-12-21 주식회사 플랜티넷 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유 상태 검출 및 차단 시스템
KR101047997B1 (ko) * 2010-12-07 2011-07-13 플러스기술주식회사 네트워크 패킷을 이용한 공유 단말 구분 시스템 및 처리 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107341651A (zh) * 2016-04-28 2017-11-10 阿里巴巴集团控股有限公司 交易数据关联方法、ip获取方法、交易服务器及终端
CN107341651B (zh) * 2016-04-28 2020-08-14 阿里巴巴集团控股有限公司 交易数据关联方法、ip获取方法、交易服务器及终端
CN105939231A (zh) * 2016-05-16 2016-09-14 杭州迪普科技有限公司 共享接入检测方法和共享接入检测装置
CN105939231B (zh) * 2016-05-16 2020-04-03 杭州迪普科技股份有限公司 共享接入检测方法和共享接入检测装置

Also Published As

Publication number Publication date
TWI590616B (zh) 2017-07-01
KR101518468B1 (ko) 2015-05-15
TW201608850A (zh) 2016-03-01

Similar Documents

Publication Publication Date Title
CN102884764B (zh) 一种报文接收方法、深度包检测设备及系统
US9270567B2 (en) Shared terminal identification system using a network packet and processing method thereof
JP5237034B2 (ja) イベント情報取得外のit装置を対象とする根本原因解析方法、装置、プログラム。
WO2010064799A2 (en) Countering against distributed denial-of-service (ddos) attack using content delivery network
KR101002421B1 (ko) 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유 상태 검출 및 차단 시스템
WO2013002538A2 (en) Method and apparatus for preventing distributed denial of service attack
KR101518472B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 추가 비지정 도메인 네임을 구비한 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
WO2015102446A1 (ko) 왕복 시간 변화를 이용하여 익명 네트워크를 통한 우회 접속을 탐지하는 방법
KR101127246B1 (ko) Ip 주소를 공유하는 단말을 검출하는 방법 및 그 장치
WO2015174742A1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템
KR101682513B1 (ko) 다중-코어 플랫폼들을 위한 dns 프록시 서비스
US11979374B2 (en) Local network device connection control
TWI677209B (zh) 網名過濾方法
WO2011065692A2 (ko) 더미요청 태그를 이용한 서버의 응답시간 측정 시스템 및 그 방법
KR101518470B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
CN106411819A (zh) 一种识别代理互联网协议地址的方法及装置
KR101087291B1 (ko) 인터넷을 사용하는 모든 단말을 구분하는 방법 및 시스템
KR20110067871A (ko) Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법
WO2015102356A1 (ko) 현재 시간 기준으로 공인 아이피를 공유하는 인터넷 접속 요청 트래픽을 선별적 허용 또는 차단하는 방법 및 그 방법을 실행하기 위한 공인 아이피 공유의 현재 상태 검출 및 차단 시스템
US20220124194A1 (en) Enum server and congestion control method
KR101518469B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
WO2015080378A1 (ko) 공유 단말 식별 방법 및 그 시스템
WO2017043930A1 (ko) 공유단말 검출 방법 및 그 장치
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
CN112565163B (zh) 一种检测加密等级降级行为的方法及装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15792440

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15792440

Country of ref document: EP

Kind code of ref document: A1