[논문]DDoS 공격 실험 결과, 분석 및 피해 완화 방안

양진석; 김형천; 정태명

doi:10.3745/ktccs.2013.2.3.125

[국내논문] DDoS 공격 실험 결과, 분석 및 피해 완화 방안
A DDoS Attack Test, Analysis and Mitigation Method in Real Networks 원문보기

정보처리학회논문지. KIPS transactions on computer and communication systems 컴퓨터 및 통신 시스템, v.2 no.3, 2013년, pp.125 - 132

양진석 (한국전자통신연구원 부설 연구소) , 김형천 (한국전자통신연구원 부설 연구소) , 정태명 (성균관대학교 컴퓨터공학과)

초록
AI-Helper

본 논문은 DDoS 공격과 유사한 트래픽을 생성하고 ISP를 포함한 네트워크를 통해 실제 운용 중인 웹서버에 전송하여 결과를 분석하였다. 결과 분석을 위해서 대응 장비의 관리 주체에 따라 DDoS 공격의 대응 방법을 ISP(Top), 네트워크(Middle), 시스템(Bottom) 레벨 대응으로 분류하였으며 전송 트래픽을 특징에 따라 4종으로 분류하였다. 실험 결과는 48개 홈페이지의 대응 레벨별 평균 공격 성공률과 공격 분류별 평균 공격 성공률을 기술 및 분석하였으며 2개의 예외 상황에 대해서 기술하였다. 5장에서는 실험 결과를 기반으로 피해완화방안을 제시하였다.

Abstract ▼ AI-Helper

In this paper, We send DDoS(Distributed Denial of Service) attack traffic to real homepages in real networks. We analyze the results of DDoS attack and propose mitigation method against DDoS Attacks. In order to analyze the results of DDoS Attacks, We group three defense level by administrative subjects: Top level defense, Middle level defense, Bottom level defense. Also We group four attack methods by feature. We describe the results that average of attack success rate on defense level and average of attack success rate on attack categories about 48ea homepages and 2ea exceptional cases. Finally, We propose mitigation method against DDoS attack.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

DDoS 공격은 정상적인 접속과 유사하기 때문에 패턴이 존재하거나 다량의 트래픽이 유입되는 경우를 제외하면 사실상 완벽한 방어가 불가능하다. 따라서 이번 장에서는 상기 실험 결과를 기반으로 DDoS 공격 피해완화 방안에 대해서 기술한다.
본 논문에서는 실제 운용 중인 웹서버에 대해 DDoS 공격을 수행하고 공격 및 대응 결과를 분석한다. 또한 이 결과를 기반으로 공격에 대한 피해를 완화할 수 있는 방안에 대해서 기술한다.
본 논문에서는 실제 운용 중인 웹서버에 대해 DDoS 공격을 수행하고 공격 및 대응 결과를 분석한다. 또한 이 결과를 기반으로 공격에 대한 피해를 완화할 수 있는 방안에 대해서 기술한다.
본 논문은 DDoS 공격과 유사한 트래픽을 실험 대상 홈페이지에 전송하고 이에 대한 결과 분석 및 피해 완화 방안을 기술하였다.
본 논문의 2장은 DDoS 공격에 사용한 4종의 공격 분류별 특징과 홈페이지의 대응 방법에 대해서 기술한다. 3장은 공격 방법, 모니터링 등을 포함한 공격 프레임워크에 대해서 기술한다.
접속처리한계, 홈페이지 부하가중, 응용대상 부하가중, 통신량한계초과 항목은 정상적인 접속이 불가능하여 공격이 성공한 경우“1”로 표시하였고 정상적인 접속이 가능하여 공격이 실패한 경우“0”으로 표시하였다. 본 실험은 DDoS 공격 후 홈페이지의 정상 접속 여부 확인을 목적으로 진행되었기 때문에 전송 트래픽양은 기록하지 않았다. 대역폭 항목은 홈페이지가 연결된 네트워크의 대역폭을 나타낸다.

제안 방법

DDoS 공격에 대한 대응 방법은 실험 대상 홈페이지에서 적용한 방법에 대해서 기술한다. 50개의 실험 대상 홈페이지는 대부분 DDoS 대응 장비 및 방화벽을 사용하였으나 각 홈페이지마다 여러 가지 대응 기법으로 DDoS 공격에 대응하였다.
DDoS 공격 트래픽은 Fig. 1에서 보는 바와 같이 BreakingPoint Elite(BreakingPoint社에서 개발한 트래픽 발생장비)를 이용하여 다량의 트래픽을 발생시킨 후 ISP를 거쳐 공격 대상 홈페이지에 전송하여 부하를 유발하는 방식으로 수행하였다[9].
Fig. 1에서 보는 바와 같이 실망에서 DDoS 공격 테스트를 위해 테스트 베드를 구축하였다. 공격 트래픽은 트래픽 생성 장비에서 시작하여 ISP를 거쳐 대상 홈페이지의 네트워크를 통과하여 웹서버를 목적지로 하여 전송하였다.
1에서 보는 바와 같이 실망에서 DDoS 공격 테스트를 위해 테스트 베드를 구축하였다. 공격 트래픽은 트래픽 생성 장비에서 시작하여 ISP를 거쳐 대상 홈페이지의 네트워크를 통과하여 웹서버를 목적지로 하여 전송하였다.
본 논문에서는 결과 분석을 위해 공격의 대응 주체에 따라 ISP 레벨과 네트워크 레벨, 시스템 레벨로 분류하였다. 대상 홈페이지는 레벨별로 다음과 같은 대응을 수행하였다.
DDoS 공격은 다량의 트래픽 전송을 통해 접속을 제한하는 전통적인 공격이다. 본 실험에서는 여러 자원에 대한 DDoS 공격을 수행하기 위해 TCP(Transmission Control Protocol) Connection Flooding 공격, CC(Cache Control) 공격, SQL Query Flooding 공격, Get Flooding 공격, UDP(User Datagram protocol) Flooding 공격, SYN Flooding 공격 등 6종을 선정하였다. 6종의 공격은 통신량 한계 초과, 접속처리 한계 초과, 홈페이지 부하 가중, 응용대상 부하 가중 공격으로 공격대상 홈페이지뿐만 네트워크 및 응용레벨, 운영체제 설정 등에 대한 테스트를 수행할 수 있도록 선정하였다[8].

대상 데이터

본 실험에서는 실제 DDoS 공격과 유사한 트래픽 발생을 위해 기존의 공격 패킷을 샘플링하여 트래픽을 생성하였고 약 30,000여개의 공인 IP 주소를 사용하였다.
이번 실험은 총 50개의 홈페이지를 대상으로 진행하였으나 2개 홈페이지는 분석에서 제외하였다. 2개 홈페이지의 실험을 중단했던 이유는 다음과 같다.

성능/효과

2에서 보는 바와 같이 일반적인 경우(점선 화살표) 사용자는 캐시서버에 접근하여 데이터를 수신하지만 실시간 데이터를 갖는 홈페이지의 경우 사용자가 데이터를 요청하면 캐시서버는 다시 홈페이지에 데이터를 요청(실선 화살표)하게 되어 실시간 데이터에 대해서는 트래픽 분산 효과가 없게 된다. 결과적으로 DDoS 공격 시 실제 홈페이지로 실시간 데이터 요청 트래픽이 발생하여 시스템이 DDoS 공격을 받는 현상이 발생한다.
Table 3에서 보는 바와 같이 M레벨 대응 기법 적용은 예상대로 가장 높은 공격 성공률은 보였다. 그러나 TMB 레벨 대응 기법을 적용한 홈페이지의 공격 성공률이 약 54%로 M레벨과 유사한 공격 성공률을 보였다.
홈페이지 부하 가중 공격에 사용한 CC 공격은 공격 패턴이 존재하기 때문에 탐지 패턴이 있으면 쉽게 막을 수 있는 공격임에도 불구하고 공격 성공률이 높았다. 또한 TCP Connection Flooding 공격도 다수의 연결이 짧은 시간에 맺어지지 때문에 탐지하는 알고리즘이 있음에도 불구하고 높은 공격 성공률을 보였다. 이는 대응 장비가 존재해도 일부 홈페이지의 경우 탐지규칙을 적용하지 않았거나 설정에 문제가 있는 것으로 볼 수 있다.
본 실험 결과는 실서버를 공격 대상으로 실망에서 수행하였기 때문에 의미가 있다고 판단된다. 또한 실험 후 각 홈페이지 관리자에게 공격 기법 및 대응방안을 제시하여 홈페이지의 피해를 완화하는데 도움을 줄 수 있었다.
반면에 응용 대상 부하 가중 공격의 경우 평균 공격 성공률이 매우 높았고 TMB 레벨에서 공격 성공률이 예상외로 가장 높았다. 이와 같은 결과로 볼 때 응용 대상 부하 가중 공격은 트래픽 전송량이 상대적으로 매우 적기 때문에 임계치를 통한 대응이 아닌 탐지 알고리즘이 정교해야 효율적인 대응이 가능할 것으로 보인다.
본 논문에서 기술한 DDoS 공격은 대역폭까지의 트래픽을 실험 대상 홈페이지에 전송해보고 홈페이지의 정상 접속 여부 확인을 목적으로 하여 실제 DDoS 공격 트래픽과는 차이가 있지만, ISP(Internet Service Provider)를 포함한 실망에서 운용 중인 실서버가 대상이기 때문에 실험 결과 분석 및 제안한 피해 완화 방안에 대해서 의미가 있을 것으로 판단된다.
본 실험을 수행하기 전, TMB 레벨의 대응 기법을 적용한 홈페이지의 공격 성공률이 가장 낮고 M레벨의 대응 기법을 적용한 홈페이지의 공격 성공률이 높을 것으로 예상했다. Table 3에서 보는 바와 같이 M레벨 대응 기법 적용은 예상대로 가장 높은 공격 성공률은 보였다.
또한 응용 대상 부하 가중 공격으로 인해 일부 트래픽이 유입된다 하더라도 시스템 생존성을 위해 반드시 Bottom 레벨을 적용해야한다. 일부 공격 대상의 경우 대역폭의 1/100 정도 트래픽(약 10Mbytes/second)으로도 충분히 공격 성공이 가능함을 실험을 통해 알 수 있었다. Bottom 레벨 적용 시에도 보다 정교한 시스템 최적화가 필요하다.
특히 실험 결과 중 예외 상황분석에서 기술하였던 실시간 데이터를 고려하지 않은 CDN 서비스 적용이나 매우 소량 (약 10Mbytes/second)의 트래픽으로도 DDoS 공격이 가능하다는 것을 실험으로 확인하였다.
홈페이지 부하 가중 공격과 접속처리 한계 공격의 경우 잘 알려진 공격임에도 불구하고 예상과 달리 매우 높은 공격 성공률을 보였다. 홈페이지 부하 가중 공격에 사용한 CC 공격은 공격 패턴이 존재하기 때문에 탐지 패턴이 있으면 쉽게 막을 수 있는 공격임에도 불구하고 공격 성공률이 높았다.
홈페이지 부하 가중 공격과 접속처리 한계 공격의 경우 잘 알려진 공격임에도 불구하고 예상과 달리 매우 높은 공격 성공률을 보였다. 홈페이지 부하 가중 공격에 사용한 CC 공격은 공격 패턴이 존재하기 때문에 탐지 패턴이 있으면 쉽게 막을 수 있는 공격임에도 불구하고 공격 성공률이 높았다. 또한 TCP Connection Flooding 공격도 다수의 연결이 짧은 시간에 맺어지지 때문에 탐지하는 알고리즘이 있음에도 불구하고 높은 공격 성공률을 보였다.
공격 성공 유무의 판단은 해당 홈페이지의 접속 유무를 기준으로 하였다. 홈페이지 접속 유무 판단을 위해 공격 시 사용한 ISP의 유선 라인과 다른 ISP의 유선 라인, HSDPA(High Speed Downlink Packet Access) 및 Wibro (Wireless Broadband)의 무선 모듈 등을 사용하여 총 4개의 모니터링 포인트와 홈페이지 접속 서비스를 제공하는 홈페이지 등 5개의 포인트 모두 접속 불가할 경우 공격 성공으로 판단하였다.

후속연구

반면에 응용 대상 부하 가중 공격의 경우 평균 공격 성공률이 매우 높았고 TMB 레벨에서 공격 성공률이 예상외로 가장 높았다. 이와 같은 결과로 볼 때 응용 대상 부하 가중 공격은 트래픽 전송량이 상대적으로 매우 적기 때문에 임계치를 통한 대응이 아닌 탐지 알고리즘이 정교해야 효율적인 대응이 가능할 것으로 보인다.
본 논문의 실험은 유선 네트워크 환경에서 이루어졌기 때문에 대역폭이 상대적으로 적은 무선 네트워크 환경은 고려하지 않았다. 향후 이번 실험의 데이터를 기반으로 무선 네트워크 환경으로 확장하고 진화된 DDoS 공격을 고려한 대응 방안에 대한 연구를 진행할 것이다.
TMB 레벨이 예상보다 높게 나온 이유는 통신량 한계초과 공격을 제외한 3종(접속처리한계, 홈페이지부하가중, 응용대상 부하가중)의 공격이 대역폭 정도의 트래픽을 전송했기 때문에 Top 레벨 대응 기법이 유용하지 않았던 것으로 사료된다. 현실에서 DDoS 공격은 홈페이지 대역폭의 수십에서 수천배 이상의 대용량 트래픽이 발생하기 때문에 TMB 레벨 혹은 TM 레벨 적용 시 효율적인 대응이 가능할 것으로 분석된다.

질의응답

핵심어	질문	논문에서 추출한 답변
	DDoS 공격의 방어가 어려운 이유는?	DDoS 공격의 대응을 위해 많은 연구가 진행되고 있지만 공격 트래픽이 정상적인 트래픽과 유사하고 최근에는 소량의 트래픽을 전송하는 방향으로 진화하여 방어가 매우 어렵다[1, 2, 3, 4, 5 ,6].
	분산서비스(DDoS) 공격이란 무엇인가?	분산서비스(DDoS) 공격은 목표 시스템에 다량의 트래픽을 전송하여 시스템의 성능 저하 및 마비를 일으켜 정상적인 접근을 방해하는 전통적인 공격 방법이다[11]. 최근에는 시스템 취약점을 이용하거나 소량의 트래픽으로도 공격이 가능한 방법으로 발전하였고, 공격으로 인한 시스템 성능 저하뿐만 아니라 하드웨어 및 파일시스템 파괴 등 공격 방법 고도화 및 피해가 확대되고 있는 실정이다[5, 6].
	분산서비스(DDoS) 공격은 최근 어떻게 변화했나요?	분산서비스(DDoS) 공격은 목표 시스템에 다량의 트래픽을 전송하여 시스템의 성능 저하 및 마비를 일으켜 정상적인 접근을 방해하는 전통적인 공격 방법이다[11]. 최근에는 시스템 취약점을 이용하거나 소량의 트래픽으로도 공격이 가능한 방법으로 발전하였고, 공격으로 인한 시스템 성능 저하뿐만 아니라 하드웨어 및 파일시스템 파괴 등 공격 방법 고도화 및 피해가 확대되고 있는 실정이다[5, 6].

참고문헌 (11)

2010 White paper of National Information Security, KISA, 2010.
2011 White paper of National Information Security, KISA, 2011.
3.4 DDoS Special report, Ahnlab, 2011.
Jin-tae Oh, et al., "A Novel Application-Layer DDoS Attack Detection Algorithm based on Client Intention", Journal of the KIISC(Korea Institute of Inforamtion Security and Cryptology), Vol.21, No.1, pp.39-52, 2011.
Tai-jin Lee, et al., "Light-weight Defense Mechanisms for application layer DDoS Attacks in the Web Services", Journal of the KIISC, Vol.20, No.5, pp.99-110, 2010.
Ki-Hun Jang, et al., "Smartphone DDoS Attack trend", Review of KIISC, Vol.21, No.5, pp.65-70, 2011.

원문보기 상세보기
Yong-Hee Jeon, et al., "Classification of DDoS Attack and Response techniques", Review of KIISC, Vol.19, No.3, 2009.

원문보기 상세보기
The lastest DDoS Attack and Defense techniques, Ahnlab, 2010.
Dustin D. Trammell & Todd Manning, "Simulating Distributed Denial of Service with BreakingPoint Storm CTM", White Paper, BreakPoint Systems.
Jelena Mirkovic, Peter Reiher, "A Taxonomy of DDoS Attack and DDoS Defense Mechanisms", ACM SIGCOMM Computer Communication Review, Vol.34, Issue 2. ISSN:0146-4833, April, 2004.
Wikipedia, http://ko.wikipedia.org/

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] DDoS 공격 실험 결과, 분석 및 피해 완화 방안
A DDoS Attack Test, Analysis and Mitigation Method in Real Networks 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

질의응답

참고문헌 (11)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] DDoS 공격 실험 결과, 분석 및 피해 완화 방안 A DDoS Attack Test, Analysis and Mitigation Method in Real Networks 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

질의응답

참고문헌 (11)

이 논문을 인용한 문헌

저자의 다른 논문 :

정태명 (59)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국내논문] DDoS 공격 실험 결과, 분석 및 피해 완화 방안
A DDoS Attack Test, Analysis and Mitigation Method in Real Networks 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper