DDoS 공격은 외부의 공격자가 일반 사용자들의 PC를 감염시킨 후 감염된 PC에서 특정 웹 사이트나 서버에 대량의 트래픽을 전송하여 리소스를 고갈시키거나 네트워크 대역폭을 점유함으로써 서비스를 마비시키는 공격으로, 완벽하게 막는 것이 대단히 어렵다. IDS(Intrusion Detection System:침입 탐지 시스템), IPS(Intrusion Prevention System:침입 방지 시스템), ITS(Intrusion Tolerance System), FW(Firewall) 또는 DDoS 전용 보안 장비 등을 이용하여 DDoS 공격을 막아내거나, 감내하려고 한다. 여러 종류의 보안 장비 비용 문제가 발생하기도 하고, 각 시스템 간의 연계성을 고려하지 않은 설치로 제 기능을 발휘하지 못하기도 한다. 본 논문에서는 DDoS 공격에 대한 보안 장비의 효과적인 연계와 대응 방법론을 제시한다. 설계된 방법론을 적용할 경우 기존의 네트워크 구조상에서보다 DDoS 공격에 대한 차단 및 감내 효율이 실험을 통해 입증되었다. 따라서 차별화된 DDoS 공격을 대응 및 감내하는 관제 방안을 본 연구를 통해 제시하고자 한다.
DDoS 공격은 외부의 공격자가 일반 사용자들의 PC를 감염시킨 후 감염된 PC에서 특정 웹 사이트나 서버에 대량의 트래픽을 전송하여 리소스를 고갈시키거나 네트워크 대역폭을 점유함으로써 서비스를 마비시키는 공격으로, 완벽하게 막는 것이 대단히 어렵다. IDS(Intrusion Detection System:침입 탐지 시스템), IPS(Intrusion Prevention System:침입 방지 시스템), ITS(Intrusion Tolerance System), FW(Firewall) 또는 DDoS 전용 보안 장비 등을 이용하여 DDoS 공격을 막아내거나, 감내하려고 한다. 여러 종류의 보안 장비 비용 문제가 발생하기도 하고, 각 시스템 간의 연계성을 고려하지 않은 설치로 제 기능을 발휘하지 못하기도 한다. 본 논문에서는 DDoS 공격에 대한 보안 장비의 효과적인 연계와 대응 방법론을 제시한다. 설계된 방법론을 적용할 경우 기존의 네트워크 구조상에서보다 DDoS 공격에 대한 차단 및 감내 효율이 실험을 통해 입증되었다. 따라서 차별화된 DDoS 공격을 대응 및 감내하는 관제 방안을 본 연구를 통해 제시하고자 한다.
It is very difficult to completely block the DDoS attack, which paralyzes services by depleting resources or occupying the network bandwidth by transmitting a vast amount of traffic to the specific website or server from normal users' PCs that have been already infected by an outside attacker. In or...
It is very difficult to completely block the DDoS attack, which paralyzes services by depleting resources or occupying the network bandwidth by transmitting a vast amount of traffic to the specific website or server from normal users' PCs that have been already infected by an outside attacker. In order to defense or endure the DDoS attack, we usually use various solutions such as IDS (Intrusion Detection System), IPS (Intrusion Prevention System), ITS (Intrusion Tolerance System), FW (Firewall), and the dedicated security equipment against DDoS attack. However, diverse types of security appliances cause the cost problem, besides, the full function of the equipments are not performed well owing to the unproper setting without considering connectivity among systems. In this paper, we present the effective connectivity of security equipments and countermeasure methodology against DDoS attack. In practice, it is approved by experimentation that this designed methdology is better than existing network structure in the efficiency of block and endurance. Therefore, we would like to propose the effective security control measures responding and enduring against discriminated DDoS attacks through this research.
It is very difficult to completely block the DDoS attack, which paralyzes services by depleting resources or occupying the network bandwidth by transmitting a vast amount of traffic to the specific website or server from normal users' PCs that have been already infected by an outside attacker. In order to defense or endure the DDoS attack, we usually use various solutions such as IDS (Intrusion Detection System), IPS (Intrusion Prevention System), ITS (Intrusion Tolerance System), FW (Firewall), and the dedicated security equipment against DDoS attack. However, diverse types of security appliances cause the cost problem, besides, the full function of the equipments are not performed well owing to the unproper setting without considering connectivity among systems. In this paper, we present the effective connectivity of security equipments and countermeasure methodology against DDoS attack. In practice, it is approved by experimentation that this designed methdology is better than existing network structure in the efficiency of block and endurance. Therefore, we would like to propose the effective security control measures responding and enduring against discriminated DDoS attacks through this research.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
DDoS 공격은 공격 발생 수 분 안에 네트워크 인프라를 사용 불능으로 만들 정도로 강한 파괴력을 보이고 있기에 무엇보다 사고 발생 즉시 이상징후를 발견할 수 있는 환경을 조성하는 것이 중요하다. 본 논문에서는 네트워크 정보보호인프라 스트럭처와 합리적인 의사결정 프로세스를 통하여 DDoS 공격 별 이상징후 조기 탐지 및 대응에 대한 문제점을 해결하였다. 향후 다량의 사례연구가 필요하며, 보다 많은 네트워크 환경 별 대응 프로세스 연구가 요구된다.
DDoS 공격은 공격자가 일반 사용자들의 PC에 악성 코드를 심어 감염시킨 후 감염된 PC를 이용하여 특정 웹 사이트나 서버에 대량의 트래픽을 일반적으로 업무에서 침입 탐지 시스템(IDS:Intrusion Detection System), 침입 방지 시스템(IPS:Intrusion Prevention System), 침입 감내 시스템(ITS:Intrusion Tolerance System), 방화벽(FW:Firewall) 또는 DDoS 전용 보안 장비 등을 이용하여 DDoS 공격을 막아내거나, 감내하려고 하지만, 여러 가지 보안 장비를 모두 구입하여 사용하기에는 비용적인 문제가 발생하거나, 각 보안장비 간의 연계성을 고려하지 않은 설치로 제 기능을 발휘하지 못하기도 한다. 이상과 같은 내용을 고려해볼 때, 기업 및 단체 등에서 현실적으로 보유한 보안 시스템만으로 DDoS 공격을 효율적이고 빠른 대응 및 감내가 가능한 관제 방안을 연구해 보려고 한다.
가설 설정
물론 가장자리(perimeter)쪽의 장비 가용성이 뛰어날 경우에는 문제를 발생시키는 Core Router쪽에서 방어를 해도 상관은 없다. 대용량의 bandwidth를 소모시키는 DDoS가 발생할 경우 Edge Router쪽에 있는 Firewall에서의 방어가 가장 효과적일 것이다. (그림 2)은 Zone B가 아닌 내부의 다른 Zone에서 DDoS 공격이 시작되는 모습을 보여주고 있다.
제안 방법
CC-Attack 공격은 DosHTTP을 이용하여 테스트 하였다. (그림 5)에서와 같이 victim agent 의 자원 사용이 가능해지는 것을 알 수 있다.
DDoS 공격 유형 별로 네트워크 정보보호 스트럭처 간의 상호 보완적인 연계와 (그림 3)과 같은 의사결정 프로세스를 통하여, DDoS 공격을 효과적으로 차단 및 감내한다.
UDP/ICMP Flooding DDoS 공격 환경을 구성하기 위해 5대의 샘플 호스트와 rBot으로 잘 알려져 있는 IRC Bot을 이용하였다. victim agent의 무작위로 선택 된 포트를 향해 패킷 당 4096 Bytes씩 100000개를 10ms 단위로 전송하였으며, Threshold에 따른 트래픽 변화를 쉽게 확인하기 위해 아래와 같이 단계적으로 차단 Threshold를 조정하여 테스트 하였다.
통계적 탐지 기법의 경우 [5]에서 통계적 테이터를 기반으로 DDoS 공격을 탐지 하였고, [6]에서는 데이터마이닝 기법을 이용하여 DDoS 공격을 탐지하였다. 그밖에도 [7]에서 사용한 SNMP-MIB를 이용하여 DDoS 공격을 탐지하였다. 그러나 이러한 탐지 방법들은 전체적인 탐지에 고루 쓰이지 않고, 출발지 주소, 도착지 주소 또는 포트 번호 등과 같은 특정 요소에 대한 탐지만 되거나, 대용량의 학습 데이터가 필요하다는 점과 새로운 유형에 대한 탐지가 힘들다는 점 그리고 실시간으로 유입되는 패킷들에 대한 처리능력이 다소 떨어지는 문제점이 있다.
하지만 Firewall로 모든 패킷이 몰리게 되어 단일 시간(보통 초 단위)에 대량의 패킷이 몰릴 수 밖에 없다. 따라서 방어 및 감내를 위해 Firewall의 Threshold 설정 기능을 이용하였다. 보호하고자 하는 대상이 Zone B에 존재한다고 할 때, DDoS 공격은 크게 1) Internet 을 통한 외부 유입과 2) 내부 유입으로 나눠 생각할 수 있다.
제안한 보안 관제 방안의 효과를 측정하기 위하여 외부의 Zombie PC 에서 DDoS 트래픽을 발생시켰다. UDP/ICMP Flooding DDoS 공격 환경을 구성하기 위해 5대의 샘플 호스트와 rBot으로 잘 알려져 있는 IRC Bot을 이용하였다.
분석 단계에서는 침해 시스템의 정보 수집, 시스템 프로그램의 변조 여부 점검, 중요 파일들에 대한 최종 접근 로그 확인, 시스템과 네트워크 설정 점검, 피해 시스템이 존재하는 동일 네트워크의 다른 시스템 존재 여부 점검한다. 추적 단계에서는 공격자와 공격지를 확인한 경우 역추적하여 공격지 IP, 호스트명, 시스템, 공격로그 등 수집된 공격 흔적을 통해 대응 조치하고, 공격지 확인이 불가능한 경우나 DDoS 공격 등의 자동화된 공격도구에 의한 침해사고의 경우 관련 취약점 보안 강화 조치 적용을 위해 공격 분석을 통한 네트워크 및 주변 시스템을 조사 및 분석한다. 피해 시스템의 주변에 추가적인 피해가 예상되거나 위협이 될만한 시스템 및 네트워크에 대하여 필요한 경우 추가적인 분석을 진행하고나 분석 종료한다.
대상 데이터
제안한 보안 관제 방안의 효과를 측정하기 위하여 외부의 Zombie PC 에서 DDoS 트래픽을 발생시켰다. UDP/ICMP Flooding DDoS 공격 환경을 구성하기 위해 5대의 샘플 호스트와 rBot으로 잘 알려져 있는 IRC Bot을 이용하였다. victim agent의 무작위로 선택 된 포트를 향해 패킷 당 4096 Bytes씩 100000개를 10ms 단위로 전송하였으며, Threshold에 따른 트래픽 변화를 쉽게 확인하기 위해 아래와 같이 단계적으로 차단 Threshold를 조정하여 테스트 하였다.
후속연구
추적 단계에서는 공격자와 공격지를 확인한 경우 역추적하여 공격지 IP, 호스트명, 시스템, 공격로그 등 수집된 공격 흔적을 통해 대응 조치하고, 공격지 확인이 불가능한 경우나 DDoS 공격 등의 자동화된 공격도구에 의한 침해사고의 경우 관련 취약점 보안 강화 조치 적용을 위해 공격 분석을 통한 네트워크 및 주변 시스템을 조사 및 분석한다. 피해 시스템의 주변에 추가적인 피해가 예상되거나 위협이 될만한 시스템 및 네트워크에 대하여 필요한 경우 추가적인 분석을 진행하고나 분석 종료한다. 치료 및 방역 단계에서는 백도어, 루트킷 등이 설치된 위치를 찾아내어 제거하거나 심각한 경우 파일시스템을 포맷하고 피해 시스템을 네트워크에서 분리하여, 운영체제, 응용 프로그램 등을 설치하여 정상 운영 될 수 있도록 한다.
본 논문에서는 네트워크 정보보호인프라 스트럭처와 합리적인 의사결정 프로세스를 통하여 DDoS 공격 별 이상징후 조기 탐지 및 대응에 대한 문제점을 해결하였다. 향후 다량의 사례연구가 필요하며, 보다 많은 네트워크 환경 별 대응 프로세스 연구가 요구된다.
질의응답
핵심어
질문
논문에서 추출한 답변
DDoS 공격 형태에는 무엇이 있는가?
DDoS 공격 형태는 초당 패킷 수(PPS; Packets per Second)를 증가시켜 시스템의 자원을 소비하는 공격, ICMP나 UDP를 이용하여, 네트워크 대역폭을 차지하여 데이터 전송을 막는 공격, 웹 서버의 서비스 지연 공격이 있다 최근 2009년 7월 7일에 발생한 DDoS 공격을 보면, 네트워크 기반공격인 UDP Flooding 공격, ICMP Flooding 공격과 애플리케이션 기반 공격인 HTTP Get Flooding 공격과 CC 공격(Cache-Control Attack), 복합하여 사용하는 형태를 보이고 있다[17].
CC 공격을 방어하기 위해서는 어떻게 해야 하는가?
이때 보안장비를 통하여 제때 방어하지 않는다면, 짧은 시간 안에 503 error → timewait → session full → DOS 순서로 상태가 변하게 된다. 이를 방어하기 위해서는 필수적으로 HTTP Inspection이 가능해야 하며, IDS/IPS의 signature pattern에 Cache-Control:no-store, must-revalidate를 추가하여 준다.
DDoS 공격은 무엇인가?
DDoS 공격은 외부의 공격자가 일반 사용자들의 PC를 감염시킨 후 감염된 PC에서 특정 웹 사이트나 서버에 대량의 트래픽을 전송하여 리소스를 고갈시키거나 네트워크 대역폭을 점유함으로써 서비스를 마비시키는 공격으로, 완벽하게 막는 것이 대단히 어렵다. IDS(Intrusion Detection System:침입 탐지 시스템), IPS(Intrusion Prevention System:침입 방지 시스템), ITS(Intrusion Tolerance System), FW(Firewall) 또는 DDoS 전용 보안 장비 등을 이용하여 DDoS 공격을 막아내거나, 감내하려고 한다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.