분산 서비스 공격(DDOS)2

이주안·2024년 8월 9일

DDoS 공격을 탐지를 목적으로 하므로 직접 네트워킹에 참여하지 않으며, 트래픽을 복제하여 검사하는 방식으로 구성

목적 - DDoS 공격에 대한 탐지, 관리자가 직접 판단하여 차단

구성 - Tap 장비 또는 네트워크 장비의 Mirror 포트에 연결하여 복제된 트래픽 수신

대상 - 정상적인 서비스에 혹시 발생할 수 있는 장애를 중요시하는 고객 사이트, 미션 크리티컬한 서비스를 대상

장점 - 관리자가 직접 개입하여 방어를 결정하기 때문에 정상적인 서비스를 방해 받을 필요가 없음

단점 - DDoS 공격 트래픽을 탐지를 목적으로 구성하기 때문에, 차단기능이 없어 DDoS 방어에 시간이 소요됨

벤더 - 시스코, 아보네트웍스, 시스코가 주도적으로 시장에 공급

DDoS 공격을 탐지 및 방어를 위해서 네트워킹에 직접 참여하도록 구성하여, 트래픽을 중간에 검사하고 차단할 수 있도록 구성

목적 -DDoS 공격에 대한 탐지 및 차단, 자동 DDoS 공격의 차단

구성 - 직접 네트워크 라인을 TX 및 RX 포트에 연결하여 구성

대상 - 전산 트래픽이 많지 않으면서도 보안이 중요한 기업이나 연구기관, 장애가 심각한 문제가 되지 않는 서비스

장점 - 자가 학습을 통해서 비정상적인 DDoS 공격을 탐지하고 실시간으로 차단 실행

단점 - 오탐으로 인해서 정상적인 서비스를 비정상으로 판단해 고객 서비스에 지연을 줄 수 있음

벤더 -라드웨어, 인텔리가드, 인트루가드, 시스코, 대부분 DDoS 솔루션 업체에서 제공

특성 - WS2_32 API를 이용하여 Send()를 수행, 공격대상 URL 리스트에서 Random하게 GET 요청 전송

방어 - HTTP의 공격 패턴 분석을 통한 L7 방어장비에서 차단, Source IP별 GET요청 Threshold 적용

특성 - WinPcap 라이브러리를 이용하여 Spoofed 패킷 전송, Payload는 50byte이내,임의의 페이로드 전송하여 탐지가 어려움

방어 - ICMP 및 UDP는 방화벽에서 차단

특성 - Cache control로 웹 서버에 직접 Request

방어 - HTTP의 Cache Control 패턴에 대한 L7 방어장비에서 차단