◈ ETRI 발표
◇ 대부분의 공격
- malware를 통해서 이뤄짐. (TCP 80port를 이용한 공격이 대부분)
- Web Access(HTTP, Webhard 등을)을 통한 공격이 증가 추세
- malware의 감염 경로 중의 하나는 USB의 'AutoRun.inf'을 이용해서 감염되는 경우도 많음.
◇ 7.7 공격양상
- 기존의 공격의 복합적인 특성 : TCP Syn Flooding, HTTP Get Flooding, CC Attack
- UDP / ICMP Flooding
- 일반 DDoS 공격 트래픽들보다 소량이어서 탐지가 매우 어려움
- 초당 30개의 패킷. 30여개의 트래픽 (좀비 PC별 - 알아채기가 어려움)
* Client Puzzles 알고리즘 : 클라이언트가 실제사용자인지 공격자인지 확인
* sleepy AN : Active Node
* Overlay Tracky Network : Honey Net 과 유사.
◈ 컴트루 테크놀러지
◇ DDoS 관련
- 제품 대부분 Proxy 기능 이용. - 7계층까지 다 확인/ 확실하기는 하지만 서비스 속도 보장이 관건
- Syn Cookie
- 동일 URL, HTTP 요청 공격, Session 공격 (7.7 공격 시 92.4%),
- CC Attack (Cache Control) : Cache를 거치지 않고 직접 접속
- Validation Defence : Proxy를 이용, 한 번더 검증(공격인지 아닌지 확인)
- Out of Path 방식 : 평상시에는 Pass
탐지시스템에서 패킷을 복사해서 확인, 이상징후 탐지시 Pass되는 경로는 차단 시스템으로 경로 변경.
(가든&디텍터 : 탐지와 차단시스템을 분리 - 평시엔 탐지시스템쪽으로 패킷 복사해서 확인
탐지시에는 통과되던 경로를 차단시스템으로 전달)
◈ KISA & 잉카인터넷 & 항공대 & 파로스
◇ 이모저모
- 감염을 위해 80port(Http), 53port(DNS)를 이용. 하지만, 일반 패킷의 헤더와 Payload가 일부다름
- 마이둠(?)
- 보안 <=> 서비스 수준 : 상관관계
- Back-end query : 서비스 자원 소모 과다
- 1~2차 공격의 좀비가 대체로 상이했음 (7.7 공격 시)
- 135, 139port SMB protocol
- .ini 파일을 통해서 유포시에 exe, dll등의 공격파일을 유포하기 좋음.