대표적 DDoS 방어 기술
- ACL (Access Control List)
- 가장 일반적인 유해 트래픽 차단 기술로써 IP주소, 서비스 포트 그리고 컨텐츠를
기반으로 한 차단이 가능하다. 하지만 이 방법은 접근통제를 위한 별도의
ASIC 화된 모듈이 없을 경우 네트워크 장비에 많은 부담을 주어 성능저하의 원인이
될 수 있다. 또한 ISP와 같은 많은 네트워크 장비를 보유하고 있는 기관의 경우,
이들 장비들에 접근통제 정책을 업데이트하기 위해서 별도의 스크립트를 작성하거나,
그렇지 않은 경우 개별적으로 로그인하여 설정을 변경하여야 하는 어려움이 있다. - Null0 Routing
- 특정한 목적지로 향하는 패킷들을 Null0라는 가상 인터페이스에 포워딩 함으로써 drop
시킬 수 있는 기술. 국외에서는 Blackhole Routing 또는 블랙 필터링 이라 불리고 있지만
국내에서는 Null0 라우팅 이라고 한다. 이 기술은 네트워크 장비의 기본 기능인 포워딩
기능을 시용하므로 ACL 기술에 비해 장비의 과부하가 거의 없으나, IP 기반(L3)의
필터링만 제공할 수 있고, 서비스 포트(L4)나 컨텐츠(L7)에 의한 핕터링은
불가능한 단점을 가지고 있다. - uRPF(unicast Reverse Path Forwarding)
- 출발지 IP주소를 위장(IP Spoofing)한 공격을 차단해 줄 수 있는 기술로써, 라우터가
패킷을 받으면 출발지 IP 주소를 확인하여 해당 IP로 갈 수 있는 역경로(Reverse Path)가
존재하는지 확인함으로써 출발지 IP 주소를 신뢰한다. 대부분 DoS 또는 DDoS 공격이
자신의 출발지 주소를 위장하므로 uRPF는 상당히 효과적인 서비스거부공격 차단 수단이
될 수 있다. 하지만, 이 기술 역시 다수의 라우팅 경로가 존재하는 비대칭 망구조를
가지고 있을 경우 적용의 한계(stricy 모드 사용 못함)가 있으며, Spoofing 을 방지하는
것 이외에 다양한 서비스거부공격에 대한 대응 기능이 존재 하지 않는다. - Rate-Limit
- 특정 서비스 또는 패턴을 가진 패킷이 단위시간 동안 일정량 이상 초과할 경우
그 이상의 패킷을 통과시키지 않도록 하는 기술을 Rate-Limit 기술이라 함.
이것은 Ratefiltering 이라고도 하며, Cisco에서는 CAR(Commit Access Rate)로
구현하고 있다. 이 기술은 Syn flooding 공격시 Syn 패킷의 Bandwth 제한,
Smurf 공격이 ICMP 패킷의 Bandwith 제한 등에 유용하게 사용될 수 있다.
하지만, 비정상적인 패킷 뿐만 아니라 정상적인 패킷도 차단될 수 있으며,
해당 기능을 수행하는 전용 모듈이 없을 경우 라우터에 과부하를 유발시킬
수 있는 단점이 있다.
서비스 거부 공격 탐지
SYN Flood 공격을 받았을때
신뢰 할 수 있는 방어 프로그램
- mod_evasive
- Apache 서버 모듈 프로그램
- HTTP 프로토콜로 들어오는 DoS/DDoS 공격을 탐지하고 방어
- http://www.zdziarski.com/projects/mod_evasive/
- Snort
- 윈도우용 네트워크 상태 모니터 프로그램
- http://www.snort.org/
- Microsoft 의 TCP/IP 파라미터 구성
- 첨부된 레지스트리(reg.zip)를 등록한다.
- Windwos Server Edition 2000/2003 과 Windows XP 에서만 효과 있음
reg.zip
'컴퓨터' 카테고리의 다른 글
| DRDOS 란? (0) | 2009.04.07 |
|---|---|
| DDOS / DOS 의 대한 이해 (1) | 2009.04.07 |
| 보안경고 - ntdir.vbs, voda.vbs (0) | 2009.01.09 |