내부에서 외부로 방어하는 NetFence

초록

NetFence는 네트워크 내부에 혼잡 제어 피드백을 삽입해 라우터가 혼잡 상황을 실시간으로 표시하고, 출입 라우터가 이를 기반으로 송신자를 제한함으로써 DoS 공격을 방어한다. 혼잡 피드백은 인증된 토큰 형태로 작동해 정당한 트래픽은 공정하게 자원을 할당받고, 공격자는 토큰이 없으므로 차단된다. 설계는 per‑host 상태를 없애고 AS 수준의 최소 상태만 유지하도록 하여 확장성을 확보한다.

상세 요약

NetFence는 기존 DoS 방어 메커니즘이 갖는 두 가지 근본적인 한계를 극복한다. 첫째, 공격자가 대규모 트래픽을 발생시켜 라우터에 per‑host 상태를 강제로 축적시키는 “state‑exhaustion” 공격을 방지한다. NetFence는 혼잡이 발생한 bottleneck 라우터가 패킷 헤더에 Secure Congestion Policing Feedback (SCPF) 라는 인증된 마크를 삽입하도록 설계하였다. 이 마크는 라우터가 비밀키로 서명한 토큰 형태이며, 패킷이 통과할 때마다 라우터는 기존 토큰을 검증하고 필요 시 새로운 토큰을 발급한다. 따라서 라우터는 개별 송신자에 대한 정보를 저장할 필요 없이, 토큰 자체가 현재 혼잡 상태와 허용 가능한 전송량을 내포한다.

둘째, 공격자가 피해자와 협력해 특정 링크를 목표로 트래픽을 집중시키는 “colluding pair” 시나리오에서도 정당한 사용자에게 공정한 대역폭을 보장한다. NetFence는 수학적으로 증명된 fair‑share guarantee 를 제공한다. 각 Autonomous System(AS) 단위로 토큰을 관리함으로써, 동일 AS 내의 다수 호스트가 협력하더라도 전체 AS가 차지할 수 있는 대역폭은 사전에 정의된 비율을 초과하지 않는다. 이는 토큰 발급 정책이 AS‑level 율을 기준으로 제한되기 때문에 가능하며, 라우터는 AS 식별자만 저장하면 된다.

또한 NetFence는 capability‑based 방식을 차용한다. 피해자는 자신이 원하는 트래픽만을 허용하도록 토큰을 선택적으로 배포할 수 있다. 공격자는 토큰이 없는 패킷을 전송하면 출입 라우터에서 즉시 폐기되므로, 공격 트래픽이 네트워크에 침투할 여지가 최소화된다.

실험에서는 Linux 커널 모듈 형태로 구현하고 ns‑2 시뮬레이션을 통해 대규모 DDoS 상황을 재현하였다. 결과는 기존 per‑host 상태 기반 방어에 비해 라우터 메모리 사용량이 90% 이상 감소했으며, 정상 트래픽의 손실률은 1% 미만으로 유지되었다. 이와 더불어 이론적 분석을 통해 토큰 위조 가능성을 암호학적으로 차단하고, 토큰 재사용 공격에 대한 방어 메커니즘을 제시한다.

요약하면, NetFence는 보안 인증된 혼잡 피드백을 네트워크 전반에 퍼뜨려, 라우터가 최소 상태만으로도 실시간 혼잡 제어와 DoS 방어를 동시에 수행하도록 만든 혁신적인 아키텍처라 할 수 있다.