기밀성(Confidentiality) 무결성(Integrity) 가용성(Availability)
화이트리스트(White List) 블랙리스트(Black List)
공격 상황 | 정상 상황 | |
---|---|---|
공격 인지 | True Positive (정상 탐지) | False Positive (오 탐지) |
정상 인지 | True Negative (미 탐지) | False Negative (정상 탐지) |
1. Yes라고 추론했는데 정답이 Yes인 경우(공격이라고 추론했는데 실제로 공격인 경우): True Positive(정탐)
2. No라고 추론했는데 정답이 No인 경우(공격이 아니라고 추론했는데 실제로 공격이 아닌 경우): False Negative(정탑)
3. Yes라고 추론했는데 정답이 No인 경우(공격이라고 추론해 드롭했는데 공격이 아닌 경우): False Positive(미탐)
4. No라고 추론했는데 정답이 Yes인 경우(공격이 아니라고 패킷을 허용했는데 실제로 공격일 경우): True Negative(미탐)
1. 장비에 패킷이 들어오면 우선 세션 상태 테이블을 확인한다.
2. 조건에 맞는 세션 정보가 세션 테이블에 있을 때, 포워딩 테이블을 확인한다.
3. 조건에 맞는 세션 정보가 세션 테이블에 없을 때, 방화벽 정책을 확인한다.
4. 방화벽 정책은 맨 위의 정책부터 확인해 최종 정책까지 확인한 후 없을 때 암시적인 거부 규칙을 참고해 차단된다.
5. 허용 규칙이 있으면 내용을 세션 테이블에 적어 넣는다.
6. 포워딩 테이블을 확인한다.
7. 조건에 맞는 정보가 포워딩 테이블에 있을 때, 적절한 인터페이스로 패킷을 포워딩한다.
8. 조건에 맞는 정보가 포워딩 테이블에 없을 때, 패킷을 폐기한다.
Volumetric Attack | Protocol Attack | Application Attack | |
---|---|---|---|
무엇인가 | 대용량의 트래픽을 사용해 공격 대상의대역폭을 포화시키는 공격. 간단한 증폭기술을 사용해 생성하기 쉬움 | 3, 4계층 프로토콜 스택의 취약점을 악용해 대상을 액세스 할 수 있게 만드는 공격 | 7계층 프로토콜 스택의 약점을 악용하는 공격. 가장 정교한 공격 및 식별, 완화에 가장 까다로운 공격 |
장애를 어떻게 일으키는가 | 공격에 의해 생성된 트래픽 양은 최종 자원(웹 사이트 또는 서비스)에 대한 액세스를 완전히 차단할 수 있음. 쓸모없는 패킷이 회선을 모두 차지해 정상적인 서비스 트래픽이 통과할 수 없음. | 공격 대상이나 중간 위험 리소스의 처리 용량을 모두 사용해서 서비스 중단을 유발함. 일반적인 네트워크 장비나 네트워크 보안 장비를 대상으로 하는 경우가 많음. 공격 대상 장비의 CPU, 메모리 자원을 고갈시켜 정상적인 서비스가 불가능하게 함. | 대상과의 연결을 설정한 후 프로세스와 트랜잭션을 독점해 서버 자원을 소모시킴. 애플리케이션 프로토콜 자체의 취약점이나 서비스를 제공하는 플랫폼의 취약점을 악용하는 경우가 많음. |
예제 | NTP 증폭, DNS 증폭, UDP 플러드(UDP Flood), TCP 플러드 | Syn 플러드, Ping of Death | HTTP 플러드, DNS 서비스 공격, Slowloris 등 |
1. Host to Host 통신 보호
2. Network to Network 통신 보호
3. Host가 Network로 접근할 때 보호