※본 내용은 한국 인터넷 진흥원의 자료를 인용 하여 정리 한 것
[자료 : 한국인터넷진흥원(KISA)]
DDoS 공격 대응 개요
1. DDoS 공격 대응은 공격자와 방어자간의 가용성 확보 싸움임.
2. 방어자는 자신이 관리하고 있는 웹 서버 및 방어 시스템 자원의 한계점을 명확히 알고 잇어야 함.
( 네트워크 대역폭, 웹 서버의 성능 등의 물리적인 요소와 웹 서버와 DB의 연동관계의 효율성 등의 논리적인 부분까지 포함)
3. 자원을 항시 모니터링 하고 발생하는 DDoS 공격 유형에 따른 차단 정책을 찾고 적용하는 것이 무엇보다 중요함
DDoS 공격 대응 가이드
1. 공격의 인지 - 공격 여부 Check Point
- 웹 서비스 운영 망으로 유입되는 트래픽의 일부를 수집하여 분석
2. DDoS공격 유형 파악
사용법) tcpdump [옵션] [Expression]
[옵션] -i device : 어느 인터페이스를 경유하는 패킷들을 잡을지 지정한다. -e : 출력되는 각각의 행에 대해서 link-level 헤더를 출력한다. -c Number : 제시된 수의 패킷을 받은 후 종료한다. -v : 좀 더 많은 정보들을 출력한다. -vv : '-v'보다 좀 더 많은 정보들을 출력한다. -w : 캡춰한 패킷들을 분석해서 출력하는 대신에 그대로 파일에 저장한다. -x : 각각의 패킷을 헥사 코드로 출력한다. -r : 저장 한 파일을 tcpdump로 열어보기 위한 명령어 ex ) #파일생성 : tcpdump -nni eth0 host 1.1.1.1 -w test.pcap #파일읽기 : tcpdump -r test.pcap |
1) 웹서버 접속 로그
- 서버 접속로그를 확인하여 접속자의 request page에 대한 통계와 특정 시간동안 발생되는 request횟수의 관계성을 가지고 판단 가능
3. 공격유형에 따른 공격방안 정의 및 대응
공격유형 |
예시 |
공격방안 및 대응 |
대역폭 소진 공격 |
ex. UDP, ICMP Flooding |
웹서버 앞단에 위치한 방화벽이나 상단 라우터(ISP의 협력 필요) 에서 해당 프로토콜을 모두 차단하도록 ACL 설정 하여 대응 |
ex. TCP Flooding |
size가 큰 TCP Flooding 공격은 프로토콜 기준으로 차단 할 수 없으므로 source ip 별 pps 에 대한 임계치 정책을 설정하여 대응 |
|
웹서버 자원 소모 공격 |
ex. Syn(Ack/Fin) Flooding |
syn flooding 공격은 웹서버 OS의 TCP stack 자원을 소모하는 공격으로서 source ip 별 pps 에 대한 임계치 정책을 설정하여 대응하거나 패킷의 헤더를 검사하여 옵션필드가 없는 등의 비정상 패킷을 차단하여 대응 |
ex. Slow header or Slow data Flooding |
이 공격은 요청을 완료하지 않고 해당 connection 을 지속적으로 유지하는 공격이므로 하나의 요청에 대한 timeout 값을 설정하여 특정 시간동안 요청이 완료되지 않을 경우 connection 을 강제 종료시켜서 차단. |
|
DB connection 부하 유발 공격 |
ex. GET(POST) Flooding |
다수의 Http 요청을 유발하여 웹서버와 DB 사이의 연동에 부하를 유발하므로 특정 시간 동안 발새하는 요청 수에 대한 임계치를 설정하여 해당 임계치 이상으로 요청을 발생하는 source ip를 차단 또한, HTTP header 를 확인하여 HTTP 표준에 맞지 않는 field 가 설정 되었을 경우 해당 field 값을 signature로 설정하여 차단 |
봇 vs 브라우져 식별 방안 |
|
일반적인 봇은 브라우져와 달리 웹서버의 응답코드에 반응하여 행동하지 않으므로 웹서버에서 302 moved temporary와 같은 코드로 응답하여 봇이 발생시키는 요청을 차단. |
4. 공격 대응 후, 사후 조치
'미분류' 카테고리의 다른 글
DDoS 공격유형 정리#2 (3) | 2018.06.18 |
---|---|
DDoS 공격 유형 정리#1 (0) | 2018.06.15 |
170317 동적할당 과 malloc함수 (0) | 2017.03.19 |
170316 어셈블리 언어 (0) | 2017.03.16 |
170316 Caller & Callee , 함수 호출 규약 (0) | 2017.03.16 |