DDOS 공격 대응 방안

DDOS 공격 

distributed denial of service 공격

서비스 거부 공격으로 서비스 공격과는 다름.

서비스 거부 공격은 간접적 공격으로, 서버의 응답을 증폭시켜 해당 서버의 과부하를 불러일으켜 서버가 정상 동작을 할 수 없게 만든다.

*서비스 공격은 그냥 직접적인 공격으로, 해당 서버를 대상으로 하여 서버를 다운시킴.

공격 유형 : ip flooding 

 

DDOS 공격 해결 방안

1. 임계치 기반 규칙 

일정 시간동안 다수의 출발지 ip를 기준으로 들어오는 패킷 양의 임계치를 두어 해당 임계치를 넘어가면 
탐지하고 대응하도록 설계한다.
단, 저용량으로 들어오는 공격은 의심할 수 없다. 

2. 인증 기반 대응

좀비 pc를 대량으로 만들어 자동화로 이루어지는 공격에 대해 방어 가능하다. 
저용량 공격이라고 하더라도 봇을 이용한 공격이면 대응할 수 있다.    -> 대용량 공격 막지 못함
여기서의 '인증'은 TCP와 HTTP 프로토콜의 특성을 활용한 것이다. 
보내는 SYN 패킷에 쿠키값을 추가해서 해당 쿠키가 포함된 SYN ACK가 오는지 확인한다. 
HTTP의 경우 302 응답코드를 활용해서, 정상적인 리다이렉트가 오는지 확인한다.

 

미사용하는 인증절차 포트는 닫아둠.

3. Hybrid 디도스 공격 대응 
장비 하나로 한번에 막지 말고, 순차적으로 단계를 두어 1차방어, 2차방어, 3차방어로 여러 대응 방법을 활용한다.
시그니처 기반 대응, QOS, 접근제어목록(ACL)을 활용해 방어한다. 

4. 패킷 필터링 
패킷 헤더 내용만 보고 패킷을 필터링한다. 
단 페이로드 부분은 보지 않기에 바이러스같은 파일이 담겨있다면 탐지할 수 없음
L3 L4에서 수행함.

 

참고 사항)

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=29907 

계속되는 디도스 공격, 실질적인 해결책은?