BOTNET 을 파헤쳐라. (8. DDOS 공격 어떻게 막을것인가?) - rev:2

작성자: 미남닷컴
편집자: 엔시스



 

DDOS 어떻게 막을것인가?

 

 

우선 오랜만에 포스팅을 하게 됐습니다.

핑계겠지만 많이 바빴지요.

 

봇넷 처음부터 써보겠노라 하고나서 이번 포스팅에 대해 많이 고민했습니다.

어떻게 써야할까.

정말 DDOS는 어떻게 막아야할까.

포스팅을 하기 이전에 많은 생각을 가지게 하게 되더군요.

 

 

 

막는 방법은 이거다! 라기보다는 좀더 느슨하게 글을 진행 해볼 까 합니다.

 

 

시작하죠..

 

 

우선 DDOS는 다 아시리라고 판단합니다.

제 포스팅을 다 보신분이라면 더욱 말입니다.

 

우리나라는 인터넷 강국입니다. 네트워크 강국입니다.

어느 다른 나라보다도 네트워크 속도가 빠릅니다.

이것이 DDOS의 피해가 많이 일어나는 이유라고 생각합니다.

각 클라이언트의 네트워크 트랙픽 양이 상당하기 때문에 쉽게 공격당하고 할 수 있는 구조를 가지고 있습니다.

그래서 요즘 중국발 해킹의 대부분이 금품을 요구하고 있고 공격의 대부분이 DDOS입니다.

 

DDOS를 막는 방법을 생각할 때 첫번째로 생각해야될것은 환경이 아닐까 생각합니다.

우리나라 네트워크의 상황, 네트워크 구조, 법등 여러가지를 생각해봐야 합니다.

그다음으로는 회사들은 자신회사의 네트워크 상황도 자세하게 알아야합니다.

우리나라 네트워크 인프라, 각 회사의 인프라를 따진뒤에는 무엇을 해야할까요.

DDOS의 종류와 그것들에 대한 특징을 파악하고 막는 방법을 생각해야 합니다.

회사의 네트워크 상황을 자세하게 알아야 한다고 앞에서 말했습니다.

이것은 회사 네트워크가 어느정도 트래픽을 수용할 수 있는지?

평소 각 프로토콜의 정상적인 사용량은 어떠한지?

등을 알아야합니다.

 

회사 네트워크가 10G를 수용할 수 있다고 가정한다면 회사에서 수용할 수 있는 4G 정도의 트래픽이 공격으로 들어올 경우 시스템에 피해가 없다면 회사의 입장에서는 공격이라고 판단하지 않을 수 있습니다.

물런 4G의 트래픽으로 몇 서버가 죽을수 있습니다. 그것은 공격이라 할 수 있겠습니다.
여기서 포커스를 마춰야 할 것은 피해없이 회사가 수용할 수 있는 트래픽입니다.
회사의 하루 , 한달, 일년의 트래픽 통계와 분포도 등을 파악해야 합니다.

보통 평소에 TCP가 80%를 차지하는데 다른것이 비상상적으로 비율이 높아진다면 공격이 될 수 있습니다.

 

 

종류는 어떤것이 있을까요.

ICMP, UDP, TCP등이 있고 웹페이지요청공격, CC attack 등이 있습니다.

각 공격들에 대해서는 세부적으로 여러가지 공격이 존재합니다.

요즘 DDOS공격은 기존의 공격에서 벗어나 대규모 트래픽의 DDOS공격, 서버의 특정 취약점을 이용한 공격등입니다.

DDOS를 막는 방법중 하나는 ACL,Null Routing이 있겠습니다.

사용해야만 하는 UDP 혹은 TCP의 포트는 ACL정책으로 열어놓고
나머지는 차단해야합니다.
특정 IP들의 여러형태의 공격은 Null Routing시키는 극단적인 방법이 있겠습니다.

웹페이지 요청 공격의 경우는 세션을 맺어야 하기 때문에 리얼 아이피 입니다.

이것은 차단으로 쉽게 막을 수 있으며

여러주소에서의 요청의 경우는 whois를 통하여 좀비인지 스푸핑된 아이피인지 판단할 수 있습니다.

CC attack의 경우 HTTP protocol의 cache의 특징을 이용한 공격입니다.
HTTP protocol에서는 cache-control값이 있습니다.
RFC문서에 의하면 이 값이 쓰이는것에 대해 추천하지는 않지만
이 값으로 공격이 시도 될 수 있습니다.
웹서버의 정책을 제대로 세워 어긋나는 값들의 요청은 차단하는 방식이 있을 수 있겠습니다.
그 피해의 형태중에는 DB connection이 full이 되어 서비스가 중단되는 형태가 있습니다.

DB connection full 의 유형은 GET flooding 공격시 매개변수 값들에 의해 생기는 경우도 있습니다.

UDP fragmentation 공격의 경우 라우터에서 offset이 0이아닌 경우는 라우팅 시킵니다.

특정 DDOS 프로그램에서 4100 bytes 의 UDP fragmentation 공격을 수행할 경우 이것이 10G라면 라우터는 2/3가량을 그냥 통과 시키게 됩니다.

라우터 옵션중에 이 fragmentation까지 보는 옵션이 있는데 이것을 추가해야합니다.

얼마전 시스코에서 발표한 내용에서 인상깊었던 내용중 하나를 말해보자면

ISO manual을 제대로 읽고 ACL만 제대로 적용할 경우 왠만한 DDOS는 막을수 있다고 합니다.

 

anti-DDOS 제품을 적용하는 것도 한가지 방법이 될 수 있습니다.

적절한 분산 처리와 대용량의 트래픽을 수용할 수 있는 네트워크 구조를 가지는것도 좋은 방법입니다.

DNS서버, 웹서버를 여러개를 두어 분산처리를 하고

백본에서 트래픽을 분산처리 한다면

DDOS를 막는 좋은 방법일 수 있습니다.

허나 비용이 문제 이겠지요.

 

개인 웹서버를 운영하는 분들이 많은 피해를 입는 모습을 종종 보게됩니다.

 

그 피해가 호스팅업체에 이어지고 호스팅을 바꾸거나 금전적 부담을 얻게되는 경우를 보게됩니다.

그러나 이것을 어떻게 해결해야 하는지 모르는 경우가 대부분이며 신고한다 하더라도 처리가 늦어지는 경우도

있습니다.

이것은 웹서버를 운영하는 사람은 단지 서버를 만들고 이득을 취하기만 할게 아니라

보안인식도 있어야 한다는 것입니다.

그것을 어떻게 대처해야하는지 평소에 잘알아두어야 한다는 것입니다.

 

 

정부는 민간과 ISP업체가 협력할 수 있는 인프라와 법률등을 제공하고

공격자를 검거할 수 있어야 합니다.

민간은 제대로된 네트워크 구조, 보안인식등을 가져야 하며 ISP의 도움을 얻어야 합니다.

ISP는 민간의 신고에 대응하여 ISP간에서 차단할 수 있는 방법을 강구해야합니다.

DDOS는 민간, 정부, ISP업체가 모두 협력해야 합니다.

한가지 확실한건 민간, 정부, ISP, IDS등 모두 노력을 하고 있다는 사실입니다.

 

 

마지막으로 가장 중요한 방법은 무엇일까요?

 

각 개인의 보안인식을 철저히하고 자신의 컴퓨터가 이런 공격에 가담하는 것을 알고 방지해야합니다.

 

정부, ISP, 민간 모두가 힘을합쳐 보안인식을 심어주어야 하며 

각 개인은 보안에 신경쓰며 피해가 발생할 경우 도움을 받아야합니다.

 

How can we defend DDOS Attack?

 

I think that you know DDOS 
I think that you read my posting 1~7.

Korea has best network infrastructure.

and has fast internet speed other than many countries.

 

It's the reason that korea is often attacked DDOS

Each clinet can send many traffic. So easily attacked

Chinese hacking want money and most of that is DDOS attack.

 

For defending DDOS attack, you must think and know your country network circumstance.

and infrastructure, law and the others.

 

If you are security manager, you have to know your company's network in detail.

Next?

Figure out a kind of DDOS attack and feature and you think how to defend.

How many traffic your network cope with?

Usually, what type of traffic do you use? percentage of using traffic? TCP percentage? UDP percentage? ICMP percentage?

If your company can handle 10G traffic, 11~20G traffic can be an attack.

If application servers don't die It's difficult to have a decision that 4G traffic is an attack.
but if servers was died by 2G traffic, It's an attack.

we should know traffic statistics, distribution per day, month, yeare

Suppose that you have 80% TCP. If threr are 50% TCP traffic, 40% UDP traffic, 10% ICMP traffic, we can judge that is abnormal.

what kind of DDOS attack are there?

ICMP DDOS attack, UDP, TCP, web request flooding, CC attack and etc..

these days, DDOS attack trend is large BPS, connection full attack between web server and DB server.

Null Routing is extremely solution.

If you don't provide specific UDP service, you could have ACL for defend specific UDP port.
If we need to prevent specific IP, we can use Null Routing.

Web page request flooding attack is easy. because must connect session.

If there are requests using various source IP, you can have a decision that IP is zombie or spoof

CC attack use cache vulnerability of HTTP protocol.

If attack use keyword "Cache-Control: no-store, must-revalidate", you maybe prevent IP.

Router route fragmentation which has offset >0.

If there are 10G UDP fragmentation attck, router will route 7G traffic.

Router has an option that look fragmentation.

Cisco employee told me that you must read ISO manual in detail, correct ACL can defend DDOS attack.

you can use anti-DDOS stuff.

Best solution is to have network which can manage DDOS attack and appropriate distributed system.

Having several DNS server, Web server is also good.

Problem is money.

Government give us infrastructure and a related law. It have to arrest criminal.

We have to have appropriate configured network, security awareness. If have a problen, contact ISP.

ISP should develop solution which defend DDOS.

Government and ISP and company must cooperate together.

What is the most important thing?

People have to have security awareness and be careful to infect BOT.

---------------------------------------------------------------------------------------------------
글에 오류가 있거나 수정이 필요하다고 생각 하시면 메일을 보내주세요.
If there are errors or need to be edited, send e-mail.
미남닷컴 (minamdotcom)
kimms@boanin.com
---------------------------------------------------------------------------------------------------