본문 바로가기

카테고리 없음

DDoS

용어 : 
Bot : 좀비 PC
C&C 서버 : 공격자의 명령을 전달하는 서버
Bot Master : 공격자
Botnet : Bot + C&C서버 + Bot Master

DDoS의 공격은 공격의 내용(Content)보다는 의도(Intent)를 조사하는 것이 필요.
IPS는 공격의 내용을 조사하는 방식을 사용하므로 DDoS공격에 속수무책
봇넷이 합법적인 사용자 흉내를 낸다면 IPS는 공격트래픽과 합법적인 사용자를 구분할 수 없다.


Bonnet의 공격 종류
 Non-Service공격
   : 네트워크에서 거의 사용하지 않는 포트, 프로토콜 또는 다른 네트워크 특성을 이용해 발생.
 Service 공격
   : 실제로 존재하는 서비스에 합법적인 사용자인처럼 공격 ( Ex: 웹사이트 공격시 TCP port 80 및 합법적인 URL 사용)


DDoS 방지를 위한 베스트 프랙티스

 - Cloud Based DDoS Mitigation
  ISP 자체에서 트래픽 모니터링 기술과 인력을 통해 대형 DDoS를 제거한 후의 트래픽을 고객에게 제공해야 함.
  잔여 DDoS 공격에 대해서 고객이 처리.
  회선을 이용하는 기업이나 기관에서는 해당 ISP의 DDoS 방지 서비스의 품질을 확인해 Clean Pipe 서비스를 제공하는 ISP선택 


DDoS
분산화 된 공격다수의 bot을 이용한 공격
다수 시스템을 이용하기 위한 방법
- 보안에 취약한 PC버들을 1차 공격을 통해 bot으로 만듬.

-

서비스 거부공격의 방어 기술

- bot 확산 방지 : 악성코드 제거, 웹취약점 제거, 보안설정 점검 등
                        임의의 사이트 접근이나, 악성 이메일 첨부 등의 확인 

라우터 접근통제 정책 

 - 라우터에 유입되는 트래픽을 감시해 불필요한 트래픽의 유입제거

 - Rate limit 적용

 - Traffic Flow Filters (경우에 따라)


DDoS 방지 전용 장비

  DDoS 전용장비 검증 요건

 - L2, L3, L4의 TCP/IP 특성을 이용한 모든 종류의 DDoS 공격에 대한 차단이 가능한가?

 - 모든 종류의 DDoS 공격을 오탐없이 차단할 수 있는가?

 - 관리자의 개입을 최소화 할 수 있는가?

 - 합법적인 사용인지 식별이 불가능한 봇넷에 의한 DDoS 공격을 차단할 수 있는가?

 - 위 네가지 요소가 지속적으로 반영될 수 있는지 여부를 추가적으로 검토


방화벽

단일 사용자에 의한 DoS 공격을 연결(Connection) 제한하여 방지. - 기술적 한계가 큼

보안전략상 NAT를 사용하여 내부 IP주소 숨기는 역할(중요)


침입방지 시스템 

 - Deep Packet Inspection을 통해 애플리케이션의 의도를 확인해 통제

 - Well-known Application을 노리는 이미 확인된 공격에 대한 효율적 방어(제한적)


총체적 고려

===================================================================================


- 기존

1. ACL : 유해 트래픽 차단.

IP주소, 서비스 포트를 이용한 차단

2. Null0 라우팅 : 블랙홀 라우팅/ 블랙홀 필터링이라고도 함. (국외)

모든 장비에 해당 rule을 설정 해야함.

IP 기반 (L3)에 의한 필터링만 가능. 포트(L4), 컨텐츠(L7)에 의한 필터링 불가

3. uRPF(unicast Reverse Path Forwarding)

출발지 IP주소를 위장(IP Spoofing)한 공격을 차단 하는 기술

라우터가 패킷을 받으면, 출발지 IP 확인하여 역경로의 존재 확인

다수의 라우팅 경로가 존재하는 비대칭 망구조를 가지고 있을 경우 적용의 한계

Spoofing 방지 이외의 대응 기능이 존재하지 않음.

4. Rate-Limit 기술

특정 서비스 또는 패턴을 가진 패킷이 일정 시간동안 일정량을 초과 할 경우 패킷 차단

Syn Flooding, 공격시 Syn 패킷의 Bandwidth 제한.

Smurf 공격 시 ICMP 패킷의 Bandwidth 제한

정상적인 패킷의 차단 가능성.

해당 기능을 하는 전용 묘듈 필요. 없을 경우 라우터의 과부하 발생

5. Netflow

트래픽 흐름 분석을 통해 소스 및 대상 주소, 각 Flow의 바이트 수 및 패킷 수, 트리패기 유입 인터페이스 및 업스트림 피어 정보등을 모니터링 할 수 잇음.

이 기능을 이용한 공격자 추적은 공격로 상의 모든 네트워크 장비에 대한 접근 권한 필요

공격이 이뤄지는 동안 분석이 완료되어야 함.

원격 구동 블랙홀 라우팅(Remote Triggered Blackhole Routing)

- 원격에서 특정 집단의 라우터들의 Null0 라우팅 rule을 동시에 업데이트

- 특정 주소를 출발지 혹은 목적지로 가진 패킷들을 ISP 내의 각 edge 라우터들에서 동시 차단

- 기존 망관리 기술 응용과 고각의 보안장비 필요 없이 원격에서 iBGP를 통해 라우팅 정보를 전달 가능한 일반 성능의 라우터로도 가능.

- iBGP를 이용해 라우팅 경로를 AS내의 라우터에게 알려주는 기술과 특정 트래픽을 null0 라우팅하여 drop 시키는 기술이 핵심

목적지 기반 원격 구동 블랙홀 라우팅

================================================================

공격 방법

Smurt : Source IP를 Target IP로 변경. IP 헤더 뒤에 ICMP 메시지를 붙여서 ICMP Ping Request를 Broadcast로 전송.

            해당 메시지를 받은 호스트들은 Ping Reply메시지를 통해서 Target로 되돌려보내짐. 

TCP SYN Flood : 대량의 TCP 패킷을 Target으로 전송. SYN flag를 set한 TCP 패킷만을 전송. Target 시스템에서는 TCP 초기단계인 Syn 패킷으로 착각하고 연결을 계속 허용해서 더 이상의 연결을 허용할 수 없게 만듬.


                         


==========================================================

대처방법

블랙홀링(BlackHoling): 라우터에서 특정 목적지(Victim)로 전송되는 모든 트래픽을 차단한 후 블랙홀이라고 하는 일종의 폐기장소로 보내서 소멸

라우터(Router): ACL(Access Control List)을 이용한 필터링

방화벽(Firewall): 악의를 가진 트래픽을 차단

침입 탐지 시스템(Intrusion Detecting System): 서비스와는 별도의 차단 시스템을 추가로 사용

매뉴얼 반응(Manual Response): 사람이 직접 수작업을 통해 방어

로드 밸런싱(Load Balancing): 더욱 용량이 큰 트래픽에 대해서도 처리할 수 있도록 네트워크의 대역폭 및 성능을 강화

TCP 대신 SCTP 이용: 안정성이 강화된 프로토콜.  Four Way HandShake방식



===========

Tipping Point : 퍼포먼스 면에서 뛰어남. (룰을 모두 적용해도)

 CXO : 컨설트 툴. 회사의보안 현황 파악.
SNIA (Secure Network Infra Assessment) : 장비의하드웨어와 소프트웨어에 대한 추천안을 제공. 장비의 Config를각 벤더의 추천안(보안과 관련)과 비교
Vulenrability & Penetration Test : 각종해킹 툴을 이용한 공격 점검.
SVIA(Secure Virtual Infra Assessment) :virtualizaion에 관한 보안 점검


DDoS 트래픽 발생 시 Clear Center로 모든 트래픽을 전송(BGP로 광고함-블랙홀 라우터 기법과 유사한 듯.)
각 지역에 가장 가까운 Clear Center로 전송된 트래픽은 DDoS를 제거하고 원래 목적지로 트래픽 전송!