R-ETL시스템

Transcription

1 석사학위논문 웹응용계층 DDoS 대응을위한웹 DDoS 대피소시스템 (WDSS) The Web DDoS Shelter System(WDSS) to Counter Web Application Layer DDoS Attacks 한국방송통신대학교대학원 정보과학과 박재형 2014 년

2 웹응용계층 DDoS 대응을위한웹 DDoS 대피소시스템 (WDSS) The Web DDoS Shelter System(WDSS) to Counter Web Application Layer DDoS Attacks 지도교수김강현 이논문을석사학위논문으로제출함 한국방송통신대학교대학원 정보과학과 박재형 2013 년 12 월

3

4 논문요약 웹응용계층 DDoS 대응을위한웹 DDoS 대피소시스템 (WDSS) 박재형한국방송통신대학교대학원정보과학과 ( 지도교수김강현 )

5

6 제 1 장서론 연구배경및목적 논문의구성 2 제 2 장 DDoS 공격및대응방안연구동향 DDoS 공격유형 웹 DDoS 공격의특징 웹 DDoS 대응메커니즘연구동향 DDoS 대응체계유형 10 제 3 장 DDoS 대피소시스템 DDoS 탐지시스템의공격탐지방법 DDoS 차단시스템의공격차단방법 IP 터널링의역할 DDoS 대피소시스템구성 DDoS 대피소시스템작동절차 DDoS 대피소시스템의한계점 DDoS 대피소시스템한계점보완연구동향 21 제 4 장웹 DDoS 대피소시스템 (WDSS) 웹 DDoS 대피소시스템의공격탐지방법 L7 스위치의역할 웹캐시서버의역할 웹 DDoS 대피소시스템구성 웹 DDoS 대피소시스템작동절차 웹 DDoS 대피소의장단점 32

7 제 5 장시스템구현및기능검증 웹캐시서버기능검증 웹로딩속도평가 36 제 6 장결론및향후연구방향 37 참고문헌 39

8 < 표 2-1> OSI 계층에따른 DDoS 공격유형 4 < 표 3-1> DDoS 차단시스템탐지기법의특징 15 < 표 3-2> DDoS 차단시스템의이상행위탐지예시 16 < 표 4-1> IIS 서버의시간제한유형 28 < 표 4-2> 웹 DDoS 대피소작동방식의특징 32 < 표 5-1> 웹캐시서버기능검증결과 35 < 표 5-2> 테스트페이지로딩속도측정 36

9 < 그림 2-1> HTTP GET 공격시패킷전달 5 < 그림 2-2> HTTP POST 공격패킷예시 6 < 그림 2-3> Slowloris 공격패킷예시 7 < 그림 2-4> 정상적인웹접속의경우 URL 패턴 9 < 그림 2-5> 웹 DDoS 공격의경우 URL 패턴 9 < 그림 2-6> DDoS 대응체계 In-Line 방식 10 < 그림 2-7> DDoS 대응체계 Out-of-Path 방식 11 < 그림 3-1> DDoS 대피소의공격탐지기준설정 13 < 그림 3-2> DDoS 탐지시스템의트래픽통계분석 14 < 그림 3-3> 임계치조건에따라공격으로탐지된동일플로우발생예 14 < 그림 3-4> IP 터널링구성예시 17 < 그림 3-5> DDoS 대피소시스템구성 18 < 그림 3-6> DDoS 대피소의작동절차 19 < 그림 3-7> IP 터널링미설정시트래픽루핑발생 20 < 그림 3-8> L4 스위치를이용한 DDoS 대피소구성 ( 출처 :ETRI) 22 < 그림 3-9> DNS IP 변경을통한트래픽리다이렉트 ( 출처 :KISA) 23 < 그림 4-1> httpd.conf 의 timeout 설정을통한세션공격차단예시 ( 출처 :KISA) 25 < 그림 4-2> L7 스위치의 Connection Limit 설정스크립트예시 ( 출처 :KISA) 25 < 그림 4-3> L7 스위치의동시접속수설정예시 ( 출처 :KISA) 25 < 그림 4-4> L7스위치의 Connection-Reuse 기능 ( 출처 :A10 Networks) 26 < 그림 4-5> 웹캐시서버의프록시처리절차 ( 출처 :ARA Networks) 28 < 그림 4-6> 웹캐시서버의웹로딩속도와세션요청개선 29 < 그림 4-7> 웹 DDoS 대피소시스템구성 29 < 그림 4-8> 웹 DDoS 대피소 DNS IP 변경방식 30 < 그림 4-9> 웹 DDoS 대피소 Second IP 설정방식 31 < 그림 5-1> 모의 DDoS 시스템관리페이지 34

10 제 1 장서론 1.1 연구배경및목적 DDoS(Distributed Denial of Service) 는공격방법이점점지능화되고있으며공격대상또한기업체뿐아니라관공서, 교육기관, 국방시설등다양한대상으로확장되고있다. 이에따라 DDoS 공격탐지및방어메커니즘을비롯한 DDoS 대응체계에대한연구는지속적으로진행되고있다 [1]~[4]. DDoS 공격유형은공격목표대상에대해네트워크프로토콜상의어떠한취약점을표적으로하는지에따라분류될수있다. 대표적으로 IP, ARP, ICMP, IGMP 등의프로토콜자원관리취약점을공격하는네트워크계층 (OSI L3) 공격과 TCP, UDP 계위에서패킷을처리하기위한스택자원상의취약점을노리는전송계층 (OSI L4) 공격, 호스트의응용프로그램서비스특히 HTTP 프로토콜상의웹서버자원관리취약점을공격하는응용계층 (OSI L7) 공격이있다. 한편, DDoS 대응체계의유형은 DDoS 탐지, 차단장비가네트워크에위치한구성에따라 In-line 방식과 Out-of-Path 방식으로분류될수있다. In-line 방식은보호대상의네트워크가수용된액세스라우터에서보호대상서버까지도달하는스위치사이의경로상에 DDoS 탐지, 차단장비가위치한형태이다. 이방식은 DDoS 공격이없는평상시에도보호대상서버로유입되는모든트래픽의헤더를분석하기때문에트래픽흐름에상대적인지연이발생할수있다. 또한, 시스템구성상보안전용장비가액세스라우터하단에위치하는경우가많으며, 가입자망의라우터가수용가능한회선대역폭이상의큰규모의 DDoS 공격이발생할경우공격대응이불가능하다. 반면, Out-of-Path 방식은보호대상의서버가수용된액세스라우터상단의백본네트워크상에서별도의경로로트래픽을우회하여경로변경된트래픽중정상적인패킷만원래의목적지서버로돌려주어시스템의연속성을보장하므로대규모공격방어에적합하다. 네트워크대역폭을고갈시키는대규모트래픽의 DDoS 공격이지속적으로증가함에따라 L3, L4 계층에서라우터및보안전용장비처리용량의증설및공격대상목적지 IP로향하는모든패킷에대해 Null 처리를하는싱크홀라우팅기법등과함께

11 방화벽, 침입방지시스템 (IPS), DDoS 차단시스템등트래픽관리시스템을이용한대응체계가연구되었다 [5]~[8]. 그러나기존의 DDoS 대응체계만으로는응용계층 DDoS 공격, 특히 HTTP 프로토콜을사용하여소량의트래픽으로웹서버를공격하는웹 DDoS 공격에대한기술적대응이불가능하였다. 웹 DDoS 공격은웹서버를대상으로정상트래픽과공격트래픽을구별할수없을정도로소량의인터넷트래픽을발생시키기때문에기존의 DDoS 차단시스템이 L3, L4 트래픽의임계값을모니터하거나프로토콜이상패턴을분석하는것만으로는 HTTP의이상행위를탐지하지못하기때문이다. 만약공격트래픽이탐지되지못한채웹서버에그대로침투된다면웹서버자원의접근성을저해하여웹서비스장애를일으키게된다. 2000년대후반에들어 HTTP 프로토콜의웹 DDoS 공격이본격적으로발생하면서웹 DDoS 공격기법분석, 대응메커니즘과관련하여다양한연구가이루어졌다 [9]~[14]. 하지만, 침입차단시스템 (IPS) 과 DDoS 차단시스템등기존보안전용장비의공격대응메커니즘을개선하는것만으로는예측불가능하게진화하는웹응용계층 DDoS 공격대응에한계가있었다. 이러한배경에서어떠한네트워크구성에도적용할수있으며새로운유형의웹 DDoS 공격에대해서도사전방어를통해서비스지속성을보장할수있는 DDoS 방어체계제안의필요성이대두되었다. 이에본논문은기존 DDoS 대피소시스템에 L7 스위치를추가구성하고웹캐시서버가보호대상웹서버의콘텐츠를캐싱한후클라이언트의요청에직접응답하는웹 DDoS 대피소시스템을제안한다. 또한웹서비스의가용성유지능력에대한성능평가를실시하고평가분석을다루기로한다. 1.2 논문의구성 본논문의구성은다음과같다. 제 2 장에서는관련연구로서 DDoS 공격유형과대응체계에대하여알아본다. 먼저각 DDoS 공격유형별대응메커니즘별특징을살펴보고, 웹 DDoS 공격의특징과공격대응메커니즘연구현황을파악한다. 제 3 장에서는 DDoS 대피소시스템의공격대응절차와각대응단계별작동메커니즘을살펴보고공격성트래픽탐지및차단원리를알아본다. 이어서기존 DDoS 대피소

12 시스템의한계점과이에대한보완방법의연구동향을살펴본다. 제 4 장은웹 DDoS 대피소시스템 (WDSS) 를제안한다. L7 스위치와웹캐시서버의특징및역할을살피고웹 DDoS 대피소시스템의구성과공격대응작동절차유형을알아본후각작동유형의장단점을파악한다. 제 5 장에서는제안한웹 DDoS 대피소시스템의웹응용계층 DDoS 공격방어에대한기능검증을다룬다. 기능검증은웹캐시서버의작동에대하여국제표준에기반한 22개점검항목을확인하며, 추가적으로평상시본래웹서버로부터의웹페이지로딩과공격발생시방어후웹캐시서버로부터의웹페이지로딩시간을비교하는것으로이루어진다. 제 6 장은전체내용을간략하게요약하고향후연구방향을제시한다.

13 제 2 장 DDoS 공격및대응방안연구동향 이번장은관련연구동향을살펴본다. DDoS 공격유형과대표적인웹 DDoS 공격 의특징과 DDoS 공격대응메커니즘연구동향을살펴보고이를응용한 DDoS 대응체 계유형을살펴본다. 2.1 DDoS 공격유형 DDoS 공격은공격대상이가지고있는취약점의특성에따라공격대상서버가수용된네트워크의대역폭을소모하는공격, 공격대상서버의가용자원을소모하는공격, 시스템의소프트웨어상의취약성이나버그를노려서비스를중단하는공격으로분류된다. 특히 DDoS 공격유형은공격수단으로사용되는 OSI 계층프로토콜에따라서아래와 < 표2-1> 과같이분류할수있다 [15]. 구분공격방법예시 대용량트래픽공격 L3 공격 L4 공격 IP, ICMP 등 L3 프로토콜자원관리상의취약점을공격하여공격대상시스템또는네트워크전체의 L3 이상네트워킹기능을마비시키고서비스거부상태를유발 TCP, UDP 등 L4 프로토콜의자원관리상의취약점을공격하여공격대상시스템또는네트워크전체의 L4 이상네트워킹기능을마비 IP Flooding, ICMP Flooding, Land Attack, ARP Spoofing, RARP Spoofing TCP SYN Flooding, UDP Flooding 등 시켜서비스거부상태를유발 서버자원소모공격 L7 공격 HTTP, SMTP, FTP 등 L7 응용계층프로토콜상의취약점을노리고, 공격대상시스템의응용프로그램상의요청처리에소요되는컴퓨팅자원을고갈시켜서비스를중단 HTTP GET Flooding, HTTP POST Attack, CC Attack, Circle CC Attack, Slowloris Attack 등

14 2.2 웹 DDoS 공격의특징 DDoS 공격이등장한초기에는네트워크의가용대역폭을소모하여서비스를중단시키는공격유형이주로발생하면서대용량트래픽대응에관한연구가이루어졌다 [16]. 하지만 2000년대후반에접어들며 HTTP 프로토콜을이용하여웹서버의세션관리자원을고갈시키는방식의웹 DDoS 공격이크게증가하였으며, 대역폭소모공격과응용계층자원소모공격의혼합공격도자주일어났다. 2.1 절에서언급한바와같이 L3, L4 DDoS 공격의특징은짧은시간동안에대량의패킷을전송한다는점이있다. 따라서 DDoS 차단시스템의방어알고리즘은기준시간당발생하는 TCP, UDP 트래픽의평균값을기준으로오차범위의편차를넘는트래픽을탐지하거나동일 IP당 Connection 요청수의한계를넘는트래픽을탐지하는등수치적분석방법으로설계되어있다. 그러나웹 DDoS 공격은 HTTP와 FTP, SMTP 등의응용계층프로토콜의취약점을노려 DDoS 차단시스템이인지하지못할정도의적은용량의트래픽으로공격하기때문에기존의수치적분석방법만으로는대응하기가어렵다. 아래네가지의대표적인웹 DDoS 공격메커니즘은다음과같다. 1) HTTP GET Flooding 웹서버가 HTTP GET Request 패킷을수신하면 HTTP 헤더를처리하기에앞서 TCP 통신을수행하기위해 3-Way Handshaking을거쳐세션을맺는다. HTTP GET Flooding 은 3-Way Handshaking을방해하기위하여 HTTP GET Request 패킷을웹서버측으로과도하게전송하여웹서버의세션처리프로세스에과부하를일으키고그와동시에웹서버와 DB서버간세션부하를유발하여웹서비스를중단시킨다 [17].

15 < 그림 2-1> 의왼쪽그림은공격자가 HTTP GET Request로웹서버와 TCP 세션을맺은후세션이끊기기전혹은끊긴직후에또다시 HTTP GET Request를하여웹서버가세션을맺고끊는과정에부하를일으키도록하는 HTTP GET Flooding 공격패턴을보여준다. 이때특정출발지 IP로부터 TCP SYN이연속적으로발생하므로보안전용장비는 TCP SYN Flooding 공격이발생한것으로탐지할수도있다. 따라서탐지를회피하고자하는공격자는소량의 TCP 세션을맺은후 GET Request만반복적으로발생하여공격을시도하기도한다. < 그림 2-1> 의오른쪽그림은공격자 PC가웹서버의 Timeout에설정된시간안에서끊임없이 GET 또는 Incomplete GET Request을시도하여동일한페이지를지속적으로요청하거나 DB에동일한 Request 을발생시켜자원을소모하려는패턴을보여준다. 2) HTTP POST 공격 HTTP POST Request는 header와 body 부분으로구분되어사용자가웹서버에전달하고자하는데이터를 body 부분에포함하여전송하는요청이다. 웹서버는 POST Request를받았을때헤더부분의 Content-Length 부분을참조하여해당데이터양을모두수신할때까지세션을유지한다. 따라서 DDoS 공격자는 < 그림 2-2> 와같이 Content-Length 값을매우큰값으로조작한패킷을전송한후소량의 Data를간헐적으로발생함으로서웹서버의세션관리자원을소모시킬수있다 [18]. HTTP POST 공격은정상적인웹페이지접속자가전송하는패킷의형태와큰차이 점이없는패킷을이용한다는특징이있다. 또한아주적은양의트래픽으로장시간에 걸쳐세션을유지함으로서효율적으로웹서버자원을소모하여서비스를중단시킨다.

16 3) Slowloris 공격웹서버는 HTTP 요청패킷의헤더중개행문자 \r\n\r\n을보고요청이종료됨을판단한다. 공격자는이러한특성을악용하기위해 < 그림 2-3> 와같이 \r\n을다른문자로변경하여웹요청이종료되지않는상황을지속시켜웹서버의세션관리자원을고갈시킨다. 이와같이웹 DDoS 공격은웹서버나 DDoS 차단시스템의공격판단기준으로는정 상적이라고판단되는 TCP 연결을맺으면서웹서버의세션수를증가시켜서버자원 의한계에도달하게한다. 4) Cache-Control 공격 (CC Attack) HTTP Request의헤더필드에 Cache-Control 설정지시자를첨부하여서버의부하를발생시킨다. Cache-Control 설정지시자는 no-store, must-revalidate 등이사용된다. no-store ( 캐시저장금지 ) 지시자는민감한정보를백업저장장치에배포하는것을방지하는데사용된다. 만약 no-store를 HTTP Request에포함하여발송하게되면웹서버는이요청에대한어떠한응답콘텐츠도캐싱하지않는다. must-revalidate( 캐시의재검증 ) 지시자는웹서버가이미사용한바있는콘텐츠에대해서도반복적으로캐시사용에대한엔트리검증을요구하도록한다. 보통 CC Attack은한대의좀비 PC에서초당 6~10여회를요청하는패턴을보이는데, 일반사용자의클릭으로웹서버메인페이지접속시초당 10 세션이상오픈되는것이일반적임을고려할때초당접속수의임계값분석으로 CC Attack을방어하기는불가능하다.

17 2.3 웹 DDoS 대응메커니즘연구동향 기존의보안전용장비들은초단위로트래픽을수집하고전체트래픽의 pps(packets per second) 를분석하여임계치를설정함으로써 DDoS 공격을탐지, 차단하였다. 하지만 HTTP 트래픽은정상사용자라하더라도대부분의시간동안은트래픽을발생시키지않다가웹브라우저를실행시키거나메뉴클릭또는새로고침등을통하여수십개에서많게는수백개의 HTTP Request를짧은시간동안에발생시킬수있다. 따라서 1초단위의트래픽또는 HTTP Request 개수등수치분석을기반으로한방어방법은오류를일으킬수있다. 웹 DDoS 공격으로인한피해사례가발생하면서이러한한계점을보완하는웹 DDoS 공격대응메커니즘에대한여러가지연구가진행되고있다 [9]~[14], [18]~[21]. 1) URL별 Request 발생수분석 HTTP Request는사용자가웹브라우저실행, 메뉴클릭, 새로고침등의행위를했을때발생하는 Direct Request와웹소스코드상에서 image, iframe 등의호출로발생하는 Indirect Request로나뉜다. 만약사용자가한번의 Direct Request를발생시키는경우각 URL이 Indirect Request에의해호출되는빈도수는 Direct Request 수이상으로존재할수없다. 한편정상사용자는 10초동안에 6번이상의 Direct Request를발생시키는비율이매우희박하다. 따라서기존에 1초동안전체 HTTP Request 수를기반으로공격에대응하는방식이아닌 10초동안에각 URL 별 HTTP Request 개수로공격을탐지하고방어하는방식을사용한다. 2) HTTP Response Cookie 및 Challenge 설정웹 DDoS 공격시공격툴에의해패킷을발생시키는좀비 PC들은웹서버로부터수신되는응답패킷에는관심이없으며 HTTP Response에대해아무런반응을하지않는다. 따라서보안전용장비는 HTTP Response 패킷에 Set-Cookie 또는 Challenge를삽입하여클라이언트 Cookie 또는인증키값을설정한후 HTTP Request를다시발생하도록한다. 만약 Cookie 값이설정되지않은경우에는웹브라우저를이용한정상적인사용이아닌좀비 PC로간주하여해당패킷을차단한다.

18 3) URL 요청패턴분석웹 DDoS 공격패킷의로그를분석해보면정상사용자 IP 한개에대하여 URL 반복적으로요청되는패턴과는다르게특정 URL이반복되거나서로연관이없는 URL 이호출되는경향이있다. 정상적인웹접속은 < 그림 2-4> 와같이메인페이지요청후 html 페이지또는 asp, jsp, php 등의동적페이지를파싱한후자동링크되는이미지나플래시또는클릭으로발생하는콘텐츠를호출한다. 그러나좀비 PC 공격툴은불규칙한 Request 패킷을반복적으로발생시켜 < 그림 2-5> 와같은반복되는 URL 호출패턴을보인다. 따라서정상적인경로로호출되는 URL 패턴에기반하여이와는다른패턴을보이는반복적인 URL 호출시웹 DDoS 공격으로판단한다면공격탐지성공률을향상시킬수있다.

19 4) HTTP Request의헤더값분석공격툴을이용한 DDoS 공격패킷의경우 User-Agent, Referer와같은헤더값이동일하게반복된다. 따라서출발지 IP와 HTTP Request URL이다양하더라도동일한 User-Agent 또는 Referer 등특정헤더값이반복되는경우웹 DDoS 공격트래픽으로판단할수있다. 2.4 DDoS 대응체계유형 대용량트래픽기반의 DDoS 공격에대응하기위해서는침입탐지시스템 (IDS), 방화벽 (firewall), 침입차단시스템 (IPS), DDoS 차단시스템등의보안전용장비를별도로구축하는것이일반적이다. DDoS 대응체계는이러한보안전용장비가보호대상네트워크시설에위치한구성에따라 In-Line 방식과 Out-of-Path 방식으로분류될수있다. 1) In-Line In-Line 방식은보안전용장비가트래픽유입경로상에놓여져, 공격이발생하지않을때에도모든트래픽이보안시스템을통과하며공격발생유무를수시로탐지하는형태이다. In-Line 방식의 DDoS 대응체계구성은 < 그림 2-6> 과같다. DDoS 공격이발생하지않는평상시에는 1의실선이보여주는정상트래픽의흐름을보인다. 이때모든트래픽이보안시스템을경유하며각보안전용장비들은항상모든패킷을탐지하고분석하기때문에상대적으로트래픽흐름에지연이발생할수있다. 2의점선은 DDoS 공격발생시공격트래픽의흐름을보여준다. DDoS 공격이발생하는도중에도일반

20 사용자의정상트래픽은지속적으로발생하기때문에이에대하여정상적인서비스를유지해야한다. 침입차단시스템은공격트래픽탐지, 차단알고리즘을이용하여공격을차단하고정상트래픽만을통과시킨다. In-Line 방식은서버와네트워크를운용하는주체가보안시스템을직접운용하기때문에관리및유지보수가용이하고, DDoS 공격이나기타이상상황발생시신속한대응이가능하다는장점이있다. 하지만보안전용장비구입과구축, 운용에많은비용이소요되며보안시스템을전문적으로담당할인력확보가필수적이라는제약이있다. 특히서버가수용된네트워크의회선대역폭 ( 예 : 1 Gbps) 이상의대용량의대역폭공격 ( 예 : 10 Gbps급이상 ) 이발생할경우수용라우터의작동이마비되어공격대상서버외의다른일반서버와네트워크시설은물론동일라우터에수용되어있는지역의일반사용자혹은사업자의모든네트워킹이마비될수도있다는단점이있다. 2) Out-of-Path In-Line 방식에서는서버시설이수용되어있는라우터의하단에보안시스템이위치했던것과는달리, Out-of-Path 방식은공격시에만별도의경로로트래픽을우회하여 DDoS 공격을방어한다. < 그림 2-7> 은 Out-of-Path 방식의보안시스템구성을보여준다. 1의실선은정상트래픽의경로이다. 모든트래픽은라우터를거쳐네트워크하단으로유입되고 DDoS 탐지시스템은패킷을미러링또는샘플링하여공격성여부를판단하므로 In-Line 방식에서모든패킷을분석하기위해발생하였던트래픽지연이상대적으로적다. DDoS 공격이발생하면 2와같이트래픽흐름경로를변경하여 DDoS 탐지시스템과

21 DDoS 차단시스템으로우회한다. 이때는샘플링된트래픽이아닌실제트래픽이보안시스템으로통과한다. 경로변경된트래픽중공격트래픽은 DDoS 차단시스템에서필터링되고 3과같이나머지정상적인패킷은원래경로로돌려주어원래목적지의서버로발송함으로써시스템의연속성을보장한다. Out-of-Path 방식은백본네트워크상에서 DDoS를방어하므로수백 Gbps 이상의초대용량 DDoS 공격도대응가능하다는장점이있다. 만약 ISP 등에서제공하는 Out-of-Path 방식의보안시스템을이용할시에는자체적으로고가의보안전용장비를구매하여구축할필요가없으며장비운용또한아웃소싱할수있으므로관련비용을절약하여경제적으로 DDoS 대응체계를갖출수있다는장점이있다.

22 제 3 장 DDoS 대피소시스템 이번장에서는현재많은 ISP, IDC, 정부기관등에서구축하여운용중인 DDoS 대피소시스템의특징과한계점을살펴보고그에대한보완방법연구동향을알아본다. DDoS 대피소시스템은 2.4 절에서언급하였던 DDoS 방어체계중 Out-of-Path 방식에해당하는 DDoS 방어체계이다. 이는수십, 수백 Gbps 이상의대규모트래픽 DDoS 공격이발생하더라도보호대상네트워크, 보안전용장비및서버에부하를주지않고네트워크상단에서조기에방어를하므로효율적으로웹서비스의가용성을유지할수있다. 3.1 DDoS 탐지시스템의공격탐지방법 DDoS 탐지시스템은통계처리및분석서버, DB서버, 이벤트서버로구성되어있으며라우터를경유하는트래픽을샘플링한후 DDoS 공격발생여부를판단한다. DDoS 탐지메커니즘은트래픽량통계분석방법과동일플로우탐지방법을이용한다. 1) 트래픽량통계분석방법일주일또는한달등기준시간동안보호대상서버로유입되는트래픽의 bps(bits per second), pps(packets per second) 의평균값과표준편차 σ를계산한다. 보안담당자는트래픽평균값에대하여편차의허용범위에따른경고단계를설정한다. 또는편차에관계없이절대적인기준값을설정하기도한다. < 그림 3-1> 는트래픽오차범위에따른경고발생조건의설정예를보여준다. 일정한 IP, 프로토콜, 포트, Flag 조합을가진트래픽이허용 bps, pps를초과할경우 DDoS 발생으로판단한다.

23 < 그림 3-2> 는분석기간동안의트래픽 pps 평균값에대비하여표준편차 σ, 2σ, 4σ 에해당하는트래픽량발생시각각 minor, major, critical 경고단계를설정한후시간 에따른트래픽평균값과각경고단계의변화량모니터링예시를보여준다. 2) 동일플로우탐지방법플로우의정의는패킷헤더에있는다섯가지정보 ( 출발지 IP, 출발지포트, 목적지 IP, 목적지포트, 프로토콜또는 TCP 플래그 ) 가동일한, 단방향의트래픽흐름으로규정된다. DDoS 공격에서좀비 PC는동일한패킷을반복적으로발생시키므로동일플로우를발생시키는출발지 IP가여러개로탐지될경우 DDoS 공격트래픽으로판단할수있다 [24]~[26]. < 그림 3-3> 은일분간발생한플로우중동일한플로우를반복하여발생시키는 IP가세개이상일때 DDoS 탐지시스템이이를 DDoS 공격으로판단하는모니터링예시이다.

24 3.2 DDoS 차단시스템의공격차단방법 DDoS 차단시스템은사람이정상적인컴퓨터사용시발생할수있는패킷형태가아닌인위적인조작이가해진패킷을구별하여해당패킷을발생시키는출발지 IP 헤더를가진모든패킷을드롭하는방식으로작동한다. DDoS 차단시스템의분석메커니즘은일반적으로 < 표 3-1> 과같이크게이상행위탐지기법과오용탐지기법으로나뉘며그밖에사용자정의에따른문자열패턴을설정하여차단하는경우가있다 [15]. 구분오용탐지 (misuses detection) 기법이상행위탐지 (anomaly detection) 기법 특징 장점 단점 Rule based, Knowledge Based 알려진침입패턴을기반으로침입탐지 오탐가능성적음 관리및공격대응보고용이 설정즉시사용가능 알려진침입패턴수집이어려움 오탐방지를위한세밀한패턴정의필요 정상행위자료를기반으로침입을탐지구현비용이큼현재까지완벽하게구현된시스템없음알려지지않은공격대응가능학습능력포함잘못된탐지가능성많음장기간의학습기간필요설정관리및결과보고가어려움 1) 오용탐지기법오용탐지는알려진침입행위에대하여탐지및차단룰을설정하여공격에대응하는기법이다. DDoS 차단시스템에서는 DDoS 공격시패킷에조작을가하는특정한패턴을파악하여차단설정을하는것이일반적이다. 이방법은변조된 UDP Flooding 이나 ICMP Flooding, Fragment Flooding 등의방어에효과적이다. 오용탐지는명확히규정된문자열패턴을탐지하므로잘못된탐지를할가능성이적고, 탐지정책에대한관리와결과산출이용이하다. 단, 알려지지않은침입방법에대해서는방어가불가능하고세밀한패턴정의가필요하다는단점이있다. 오용탐지의예로는 HTTP 헤더의 Cache-Control 부분이 no-store, must-revalidate로설정되어있는경우정상적인웹브라우저에서발생한것이아닌 CC Attack을시도하는패킷이라고판단하여차단하는방법이있다.

25 2) 이상행위탐지기법이상행위탐지기법은일반적인프로토콜패턴으로부터벗어난비정상적인행위나패턴문자열을탐지하는방법이다 [27]. 이방법은통계적인자료를벗어난알려지지않은공격에대해서도대응할수있다는장점이있으나, 정상접속을공격으로오탐할수있다는단점도있다. 이러한오탐을줄이기위해서는장기간에걸쳐정상적인사용에대한분석을통한기준정립이필요하다. 이상행위탐지기법으로는 < 표 3-2> 와같이일정시간동안동일 flag를가진 TCP 패킷이임계값이상으로발생, UDP 패킷이임계값이상으로발생하는경우에 TCP Flooding 또는 UDP Flooding 으로탐지, 차단하는경우가있다. 순번탐지유형공격명공격설명유형 1 행동기반 Tear Drop 2 행동기반 TCP Tear Drop 3 행동기반 UDP Tear Drop 동일한소스IP, Port 프로토콜의패킷이 Fragment 되어서 1초 4회유입시출발지 IP 10초간차단동일한소스IP, Port TCP 패킷이 Fragment 되어 1초 4회유입시출발지 IP 10초간차단동일한소스IP, Port UDP 패킷이 Fragment 되어 1초 4회유입시출발지 IP 10초간차단 1:N 1:N 1:N 4 행동기반 ICMP Tear Drop 동일한소스IP, Port ICMP 패킷이 Fragment 되어 1초 4회유입시출발지 IP 10초간차단 1:N 5 행동기반 IGMP Tear Drop 동일한소스IP, Port IGMP 패킷이 Fragment 되어 1초 4회유입시출발지 IP 10초간차단 1:N 7 패턴기반 ICMP Flood 동일한소스IP, 동일한패턴문자열로공격, 4초간 1packet 유입시출발지 IP 10초간차단 1:1 3.3 IP 터널링의역할 DDoS 탐지시스템에서필터링을거친정상트래픽이 DDoS 대피소라우터로부터액세스라우터를거쳐본래의목적지서버까지도달하기위해서는두라우터간에 IP 터널링을맺어가상링크를설정해야한다. 만약 IP 터널링이설정되지않는다면, DDoS 대피소라우터를떠난트래픽이백본네트워크를흘러다시 DDoS 대피소로돌아들어오게되어트래픽이무한이순환하는루핑현상이발생하게된다.

26 여기서터널이란특정메시지나파일이인터넷을통해이동할수있는별도의통로를의미한다. L2 계층의터널링프로토콜은 PPTP, L2TP 등이있고, L3 계층에서동작하는터널링프로토콜은 IPSec과 MPLS VPNs, GRE, VRF-Lite 등이있다. < 그림 3-4> 는 DDoS 대피소시스템의 IP 터널링구성예시이다. DDoS 대피소라우터와액세스라우터는터널의시작과끝지점이되는터널종단이된다. 터널종단으로들어가기전 IP 패킷은 IP 헤더와 payload( 전송될데이터 ) 로구성되어있는데, 패킷이터널로들어가면터널링을위한전송용헤더가추가되어캡슐화한다. 필요에따라서는 ESP(Encapsulating Security Payload) 등암호화헤더가삽입되면서 IP 패킷의보안성을강화하여전송하는경우도있다. IP 터널링은두라우터간에동일한터널링헤더처리기술을지원하는경우에한하여설정가능하다. IP 터널링을맺는경우는제조사가같은두라우터를사용하는경우가일반적이다. 이렇게두터널종단이보유한 IP 주소로터널링을하고라우팅경로를설정해놓으면보호대상서버의 IP는터널링헤더의하위페이로드에감추어지고캡슐화된패킷은안전하게액세스라우터까지도달한다. 이후캡슐화된패킷을받은액세스라우터는터널링헤더를제거하고원상태의패킷형태를복원한후보호대상서버측으로전송한다.

27 3.4 DDoS 대피소시스템구성 < 그림 3-5> 는 DDoS 대피소시스템의구성을보여준다. DDoS 탐지시스템은보호대상서버가수용된액세스라우터로부터트래픽을샘플링하고패킷패턴을분석하여 DDoS 공격발생유무를판단한다. DDoD 대피소시스템은백본라우터로부터트래픽을받고, 필터링을거친트래픽을다시백본네트워크로반환한다. 3.5 DDoS 대피소시스템작동절차 DDoS 대피소시스템은 DDoS 공격이탐지되는경우보호대상웹서버를목적지로향하는트래픽을 DDoS 차단시스템쪽으로우회하여공격대응메커니즘에따라공격트래픽을차단한다. < 그림 3-6> 은 DDoS 대피소시스템의작동절차를보여준다. 1 공격이발생하지않는평상시에는모든정상트래픽이백본라우터에서액세스라우터를거쳐목적지서버 ( 예 : IP ) 에도달한다. 2 DDoS 탐지시스템은액세스라우터를경유하는트래픽의샘플을분석하여평균 bps, pps과대비하여오차범위이상발생시또는동일플로우의연속발생시 DDoS 공격발생으로판단한다.

28 3 DDoS 탐지시스템에서공격발생을탐지하면백본라우터에서보호대상서버의목적지 IP 로향하는라우팅경로를백본라우터에서 DDoS 대피소시스템방향으로변경한다. 따라서정상트래픽과공격트래픽에상관없이모든트래픽이 DDoS 대피소를향하여흐르게된다. 4 DDoS 방어시스템은 DDoS 탐지메커니즘과조작된헤더의문자열패턴등을분석하여공격자 IP를선별하여차단한다. 5 공격트래픽은 DDoS 차단시스템에서필터링되고통과된정상트래픽은 DDoS 대피소라우터를경유하여액세스라우터로전달되고본래의목적지서버에도달하게된다. 이때, 3단계에서네트워크전영역에보호대상의목적지서버가보유한 IP의라우팅경로는 DDoS 대피소를향하게설정하였다. 따라서트래픽이 DDoS 대피소라우터에서액세스라우터를거쳐목적지서버까지도달하기위해서두라우터간 IP 터널링을설정한다.

29 3.6 DDoS 대피소시스템의한계점 DDoS 대피소시스템은대용량트래픽기반의 DDoS 공격을신속하고효과적이며경제적으로방어한다는장점에도불구하고크게두가지의한계점을지니고있다. 첫째는 DDoS 대피소에구축된 DDoS 탐지시스템과차단시스템의네트워크행위분석, 패턴탐지, 문자열패턴매칭등의방법은 HTTP POST Attack, Slowloris, CC Attack 등소량트래픽기반의웹 DDoS 공격의방어에는효과적이지못하다. 예를들어 DDoS 대피소시스템은동일한출발지 IP로부터 HTTP Request가 1초간 4번발생하는경우 DDoS 탐지조건으로설정하지만 HTTP POST 공격은 1초당 1개의 HTTP Request 발생만으로도 DDoS 공격에성공할수있다. 이와같은 DDoS 공격탐지, 차단기법을사용하면평소의트래픽양에비해급속한변화를유발하는 L3, L4 DDoS 공격에대해서는높은정확도로방어할수있지만 L7 기반의서버자원고갈형태의공격은정상 IP를이용하여소량의 TCP, HTTP 연결을통해자원소모를유도하므로탐지가어렵다.

30 두번째한계점은 < 그림 3-7> 과같이보호대상서버가수용되어있는라우터가터널링을지원하지못할경우트래픽루핑이발생한다는것이다. 트래픽루핑시필터링을거친정상적인패킷은보호대상서버에도달할수가없으므로서비스가지속될수없다. 현재국내최대규모의 ISP에서는중규모이상의기업이이용하는전용회선만이 DDoS 대피소와 IP 터널링구성이가능한라우터에수용되어있다. 반면소규모의기업이나관공서, 교육기관등은기업전용회선을사용하기힘들며, 따라서 IP 터널링이지원되지않는다. 이러한 IP 터널링이불가한라우터에수용된기업및공공기관의경우자체적으로보안전용장비를구축할자금이충분하지않은데도불구하고 DDoS 대피소조차사용불가한상황이기때문에보안성강화가쉽지않은실정이다. 3.7 DDoS 대피소시스템한계점보완연구동향 DDoS 대피소시스템이웹 DDoS 공격에취약하다는점과 IP 터널링미지원시시스템이용이불가하다는한계점을보완하기위하여진행된관련연구동향과그방법들을살펴본다. 1) DDoS 차단시스템메커니즘업데이트 ( 웹 DDoS 방어기능강화 ) 웹 DDoS 공격대응메커니즘을개선하여 DDoS 차단시스템에적용함으로써웹 DDoS 대응성능을향상시킬수있다. 앞서 2.3 절에서살펴본웹 DDoS 대응메커니즘외에도웹서버접속 IP별 Request 비율이일정하게변화할시공격으로판단하여트래픽을차단하는방법, 프로토콜패턴분석에의거하여좀비 PC로의심되는 IP를블랙리스트로분류하여자원할당을조절하는방법, HTTP POST Request에서두번째패킷부터데이터양이급격하게작아지는경우 HTTP POST 공격으로판단하는방법등이있다 [22]~[23]. 하지만이러한웹 DDoS 공격대응메커니즘과관련한연구는주로트래픽이흐르는경로상의패턴을분석하는방식으로이루어졌으므로 HTTP Request를처리하는웹서버의자원소모문제를직접적으로해결하기는어렵다. 이를위해서는 HTTP Request를수신하여처리하는웹서버관점에서공격대응을실시해야한다. 또한공격대응메커니즘의업데이트는이미알려진 DDoS 공격패턴분

31 석에기반한사후대처에해당하므로알려지지않은신종공격에는취약하며즉각적 인대응을할수없다. 또한정상트래픽을전달하기위해서여전히 IP 터널링이지 원되어야한다는 DDoS 대피소시스템의한계점을그대로가지고있다. 2) L4 스위치를이용한트래픽플로우콘트롤 ( 웹 DDoS 방어성능강화 ) 컴퓨터와네트워크장비의경로상에서 L2 스위치는이더넷환경에서프레임을목적지로중계하는역할을하고, L3 스위치는 IP 프로토콜환경에서자신에게온패킷의목적지 IP가외부에존재하는 IP 일경우그패킷을외부에연결된라우터로보내준다. 즉 L2, L3에서동작하는스위치는 MAC 또는 IP 주소를기반으로경로설정을하므로상위계층의프로토콜인 TCP, UDP를이해하지못한다. 그러나 L4 스위치는 L4 프로토콜인 TCP, UDP 기반으로스위칭을수행한다. 즉, TCP와 UDP 헤더의정보를보고서비스종류별로패킷을처리하며플로우로드밸런싱을할수있다 [28]. < 그림 3-8> 은 DDoS 차단시스템상단에 L4 계층스위치를배치하고트래픽플로우학습기능을이용하여패킷통과비율을조절함으로써 DDoS 공격을완화하는방법을보여준다. L4 스위치는인터페이스또는 IP 별플로우통계값을분석하여평상시정상적인트래픽발생패턴을보인 IP들은화이트리스트에등록하고알려지지않은 DDoS 공격패킷은사전에차단한다. 하지만이방법으로는 TCP, UDP 기반의플로우흐름상으로는이상행위가아니지만응용계층에서변칙적인접속을시도하는공격의경우방어하지못하는경우가발생한다.

32 3) 목적지 IP 변경을통한트래픽리다이렉트 (IP 터널링미지원시시스템구성 ) 보호대상홈페이지의 URL에해당하는 DNS의호스트정보를보호대상웹서버의 IP 에서 DDoS 대피소의차단시스템 IP로변경하여트래픽을우회하고필터링을거친정상트래픽의목적지 IP를다시보호대상웹서버 IP로변경하는방식이다 [29]. < 그림 3-9> 은 DNS 호스트 IP 정보를변경하여트래픽우회후보호대상의웹서버로리다이렉트하는절차를보여준다. 이방법은 DDoS 대피소출구에서각패킷의목적지 IP를변경하기때문에 IP 터널링이없이도목적지까지정상트래픽을전달할수있다. 하지만, DDoS 발생시에필터링을거친정상 HTTP Request 패킷의목적지 IP를변경하는과정이지속적으로수반되어야하므로웹페이지로딩시간이증가한다는단점이존재한다. 또한신종웹 DDoS 공격발생으로보안전용장비에서차단에실패할경우모든잔존트래픽은보호대상웹서버측으로그대로전달되기때문에보호대상서버에위협이될수있다.

33 제 4 장웹 DDoS 대피소시스템 (WDSS) DDoS 대피소의한계점을보완하기위한방법으로서웹 DDoS 대피소를제안한다. 웹 DDoS 대피소는기존 DDoS 대피소시스템의구성을그대로유지하면서 L7 스위치와웹캐시서버의추가구축만으로대용량트래픽기반의 DDoS 공격대응성능을그대로유지하면서웹 DDoS 공격방어성능을향상시키며 IP 터널링의한계점을보완할수있다. 또한웹 DDoS 대피소시스템의정액사용료만으로웹 DDoS 방어체계를갖추고보안전문가에게시스템운용을아웃소싱할수있으므로 DDoS 차단시스템구입과구축, 운용에투여되는비용과시간을절약하는효과를얻을수있다. 4.1 웹 DDoS 대피소시스템의공격탐지방법 기존의 DDoS 탐지시스템은트래픽량평균값에대한편차를분석하거나동일플로우발생을탐지하여 DDoS 공격유무를판단하였다. 하지만, 웹 DDoS 공격은동일플로우를반복하지않으면서도 DDoS 탐지시스템이공격으로판단할수없는적은트래픽으로공격을시도하기때문에다른방식의공격탐지기법이요구된다. 웹 DDoS 대피소시스템은보호대상웹사이트페이지를주기적으로모니터링하면서응답속도를측정함으로써웹 DDoS 공격발생유무를탐지한다. 만약웹페이지응답시간이지연되거나웹페이지출력오류가발생할경우에는웹 DDoS 공격발생이발생하고있다고판단하여목적지서버로향하는 IP 패킷을수동분석하고, 웹 DDoS 공격유무를판단한다. 4.1 L7 스위치의역할 L7 스위치는 DDoS 대피소시스템구성중 DDoS 차단시스템하위에추가되어웹 DDoS 트래픽을차단하고웹캐시서버로드밸런싱역할을한다. 특히 TCP, HTTP 연결관리를통하여기존에알려지지않은변칙적인웹 DDoS 공격트래픽을필터링할수있다. L7 스위치의주요역할은다음과같다.

34 1) 웹 DDoS 공격방어웹 DDoS 대피소시스템에서 L7 스위치는웹 DDoS 방어메커니즘이적용되여공격을방어하는주요역할을수행한다. L7 스위치의주요웹 DDoS 방어방법은다음과같다 [30]. 1 HTTP 헤더의 Cache-Control 부분에특정문자열 no-strore, must-revalidate 를포함하는경우해당 IP의접속을차단한다. 2 < 그림 4-1> 과같이 Connection Timeout 동안 Client와웹서버사이에신호가발생하지않을경우 Connection을종료하도록설정한다. 웹서버에서 keep-alive 기능을사용하는경우에는 Keepalivetimeout을사용하여세션공격을차단한다. 3 < 그림 4-2> 와같이 IP 당 Connection Limit 을설정하여하나의 Client 와 Server 가 맺을수있는 Connection 수치를조절하여차단한다. 4 특정출발지 IP에서연결할수있는동시접속수에대한최대값을설정한다. 이는한개의 IP에서대량의연결을시도하는공격을차단하기에적절하다. 유닉스 / 리눅스계열의운영체제를사용한다면 < 그림 4-3> 과같이운영체제의방화벽설정도구인 iptables 명령어를이용하여차단한다.

35 그밖에 RequestReadTimeout(mod_reqtimeout Module) 설정을통한차단, 좀비 PC 에 서 URL Redirect 로특정 URL 요청을수행할경우좀비 PC 에다른 URL 로리다이렉트 신호를전송함으로써공격을차단하는방법등이있다. 2) 어플리케이션성능최적화 SYN Cookie 관리 (TCP SYN을유발하는공격방어 ), rate-limiting, connection-limit, max TCP connections, 전역변수추적등데이터실시간처리정확도향상을통해응용계층의변칙적접속에대한사전완화기능을수행한다. 3) 불필요한연결제거 < 그림 4-4> 와같이 L7 스위치가 Client Request에대하여 TCP 3-way handshaking 을수행하여 TCP 연결을맺은후웹서버측으로는데이터요청을위한패킷만을전달하여웹서버가 TCP 연결관리를위해소모하는자원을최소화한다. 이러한연결관리성능을향상시킬수있는네트워크계층 TCP 최적화를통해, 변칙적인방법으로 TCP 연결수를증가시키거나알려지지않은다양한형태의웹 DDoS 공격을사전에예방할수있다.

36 4) 웹캐시서버로드밸런싱웹캐시서버한대가수용할수있는콘텐츠양에는한계가있기때문에, 웹 DDoS 대피소시스템을이용하는사업자가증가하여시스템규모를확장해야할경우다수의웹캐시서버로이루어진서버군을구성해야할것이다. 이때 L7 스위치는웹캐시서버군상단에서웹캐시서버의세션처리상태나자원조건을파악하여최적의서버로사용자요청패킷을전달함으로써웹 DDoS 대피소의전반적인작동효율을증가시킨다. 5) 콘텐츠캐싱을통한응답속도향상다수의사용자가빈번하게요청하는주요정적웹페이지를 L7 스위치의메모리에캐싱한후직접응답함으로서하단의웹캐시서버측으로전달되는세션요청수를조절한다. 따라서, 웹 DDoS 공격의웹페이지단순반복요청발생시불필요한세션을사전에제거하여알려지지않은공격을차단할수있다. 또한정상사용자의웹페이지요청패킷에대하여응답하는경로를단축하여웹페이지응답속도를향상시킨다. 4.2 웹캐시서버의역할 (1) 웹 DDoS 공격완화 L7 스위치의웹 DDoS 공격차단과는별도로웹캐시서버의세션수, 세션유지시간, 쿠키관리설정등을최적화하여알려지지않은공격으로부터서버를보호한다. 웹캐시서버를최적화는다음과같은방법이있다. 1 연결시간제한설정웹 DDoS 공격이발생하여대량접속이이루어지는경우에는연결시간을제한한다면네트워크자원활용도를상당히높일수있다. 예를들어, IIS 같은경우 < 표 4-1> 과같은시간제한옵션이있다. 여기서연결시간제한을기본값인 120초로설정한다면다른작업요청이없더라도 120초동안 CLOSE_WAIT 상태를유지한다. 따라서웹캐시서버는이값을단축시킴으로서웹 DDoS 공격방어에적합한환경을구성한다.

37 제한유형연결시간제한서버수신시간제한응답시간제한요청시간제한 내용클라이언트가서버에실제로데이터를보냈지만현재유휴상태인경우서버에대한연결이설정되었지만클라이언트가데이터를전송하지않는경우구성가능한초당최소바이트값을기준으로함클라이언트가서버에이유없는느린요청 ( 예 : 1비트 / 초 ) 을발행하지못하도록함 2 세션구성값설정클라이언트의접속정보를서버측메모리에저장하는세션시간 ( 예 : IIS의경우 20분 ) 이길경우대량접속발생시많은메모리점유와자원소비를조장하여서버의성능을저하시킬수있다. 웹캐시서버는웹 DDoS 공격방어에적합한값으로세션유지시간을단축한다. 3 성능과관련된레지스트리설정 캐시파일수, 캐싱된리소스에대한 TTL 값, SSL 캐시비율등과관련한레지스트 리값을웹 DDoS 공격방어에적합한수치로조정한다. (2) IP 터널링없이응답패킷전송웹캐시서버는 < 그림 4-5> 와같이클라이언트의요청에대하여유효한페이지인지를판단한후보호대상웹서버로부터캐싱한콘텐츠를사용자에게직접응답하며, 캐싱된페이지가없는경우보호대상서버로부터해당페이지를재요청한다.

38 (3) 리버스웹캐시리버스웹캐시란클라이언트측에서수행하는포워드캐시와는반대로인터넷망을넘어별도의네트워크에서웹서버를대신하여콘텐츠를캐싱하는것을뜻한다. < 그림 4-6> 과같이웹캐시서버는리버시웹캐시역할을수행하여사용자접근정책을설정하고, 웹로딩속도개선하며보호대상웹서버로향하는세션요청수를절감할수있다. 4.3 웹 DDoS 대피소시스템구성 웹 DDoS 대피소시스템은 < 그림 4-7> 과같이기존 DDoS 대피소의 DDoS 차단시스템하위에 L7스위치와웹캐시서버를구성한후웹콘텐츠를캐싱함으로써 IP 터널링없이웹 DDoS 공격에대응할수있다.

39 4.4 웹 DDoS 대피소시스템작동절차 웹 DDoS 공격발생시보호대상웹서버가제공하는웹사이트의 URL로향하는트래픽을웹 DDoS 대피소로우회하여야한다. 기존 DDoS 대피소에서는트래픽우회시백본네트워크상에서목적지 IP로향하는라우팅경로를변경하는것으로충분하였지만, 웹 DDoS 대피소는 URL에해당하는경로를변경하여야한다. 이번절에서는보호대상웹페이지의 URL을 으로설정하고서버 IP를 , 웹캐시서버 IP를 가정하여트래픽두가지트래픽우회방식에따른웹 DDoS 작동절차를알아보겠다. 1) DNS IP 변경방식 DNS IP 변경방식은 < 그림 4-8> 과같이웹 DDoS 공격발생시웹서버 DNS IP 를 Real IP 에서웹캐시서버의 VIP 로변경함으로써트래픽을우회시킨다. 1 ( 정상접속 ) DDoS 공격미발생시정상사용자는보호대상웹서버로부터 HTTP 응답을받아웹페이지를열람한다. 2 ( 웹콘텐츠캐싱 ) 보호대상웹서버와 DDoS 대피소의웹캐시서버는사전설정을하여주기적으로정적 / 동적웹콘텐츠를전달받아캐싱을한다. 3 ( 공격발생 ) 웹페이지응답이지연되거나, 접속장애발생시웹응용계층의 DDoS 공격

40 발생을탐지한다. DNS의호스트정보를보호대상웹페이지의 URL, 즉 에해당하는 Real IP 에서웹 DDoS 대피소의웹캐시서버가보유한 IP 로변경한다. DNS 호스트정보변경이모든 DNS에전파되면 로향하는모든트래픽을전량 DDoS 대피소의웹캐시서버로우회된다. 4 ( 공격트래픽차단 ) DDoS 차단시스템은대응메커니즘에따라 L3, L4 DDoS와일부 L7 DDoS를방어한다 (1차 DDoS 방어 ). L7스위치는웹캐시서버로드밸런싱을수행함과동시에 TCP Connection을관리하고, Set-Cookie 설정, 세션테이블관리를통해웹 DDoS 공격트래픽을차단한다 (2차 HTTP DDoS 방어 ). 5 ( 요청에대한응답 ) L7 스위치는정상적인 HTTP Request를웹캐시서버로전달하고웹캐시서버는수신된 Request 에대하여 HTTP Response 패킷을 L7스위치로전달한다. L7스위치는세션테이블참고하여클라이언트에게최종적으로 HTTP Response 패킷을전달한다. 2) Second IP 설정방식이방법은웹서버가평상시사용하는 Real IP외에여분의 Second IP를가지고있는경우사용할수있다. DNS IP 변경방식은 DNS 호스트정보변경사항이모든 DNS에전파되기까지시간이경과되는반면 Second IP 설정방식은공격발생시 IP의라우팅경로만변경하면되므로즉각적인대응을할수있다.

41 < 그림 4-9> 는 Second IP 설정방식의작동절차를보여준다. 전반적으로 DNS IP 변경방식과비슷한절차로작동하지만, 웹콘텐츠캐싱과트래픽우회처리에차이점이있다. 1 DNS IP 방식과동일 2 DNS IP 변경방식은보호대상웹서버의 Real IP와웹캐시서버의 VIP 간에세션을맺어웹콘텐츠를캐싱하는것과는달리, Second IP 설정방식은보호대상웹서버의 Second IP와세션을맺고, 웹콘텐츠를캐싱한다. 3 오리지널웹서버의 URL Real IP의목적지를웹캐시서버로설정하여, 로향하는모든 HTTP 요청이웹캐시서버로향하게트래픽을우회한다. 4 DNS IP 방식과동일 5 DNS IP 방식과동일 4.5 웹 DDoS 대피소의장단점 DNS IP 변경방식과 Second IP 설정방식의장단점을 < 표 4-2> 와같이정리하였다. 웹서버를운용하는사업자의네트워크및서버환경과기술지원여부등을고려하여두가지방식중수용여부를결정한다. 구분 DNS IP 변경방식 Second IP 설정방식 장점 단점 추가의공인 IP 설정불필요하여경제적 백본라우터에서웹캐시서버 IP 에대하여악성포트를사전차단하여보안강화 웹캐시서버 IP 를목적지로 DDoS 대피소라우터와 L7 스위치에서경로설정이되어있으므로관리상편리 URL 이아닌 Real IP 로직접 DDoS 공격시웹 DDoS 대피소로차단불가 웹 DDoS 공격발생시 DNS 호스트정보변경과전국 DNS 전파로, 신속한대응어려움 ( 서비스품질저하 ) 평상시웹캐시서버 - 보호대상웹서버간콘텐츠동기화불가 DNS 호스트정보변경없이 Second IP 즉시적용으로신속한공격대응 외부에노출되지않은백엔드 IP 를사용하므로보안강화 평상시웹캐시서버 - 보호대상웹서버간콘텐츠동기화가능 웹사이트 IP 를목적지로 DDoS 대피소라우터와 L7 스위치에서라우팅설정해야하므로관리가어려움 웹사이트운용사에서임의로 IP 변경시사유확인및대피소측설정즉시변경필수

42 웹 DDoS 대피소시스템의구성과공격대응절차를이용하여기존 DDoS 대피소의단점을보완할수있다. 첫째, 웹응용계층 DDoS 공격과대역폭기반의 L3, L4 DDoS 공격이혼합되어발생하더라도 DDoS 차단시스템이 1차로대역폭기반 DDoS를방어하고 L7 스위치가 2차로웹 DDoS 방어를수행한후웹캐시서버에서세션관리를함으로서효과적인대응체계구축이가능하다. 둘째, 정상적인클라이언트의데이터요청에대해웹캐시서버가캐싱한콘텐츠를직접응답하기때문에보호대상웹서버로트래픽을다시전송하기위한 IP 터널링설정이필요없게된다. 따라서 DDoS 대피소측라우터와모델이상이하여 IP 터널링설정이불가하더라도웹 DDoS 대피소이용이가능하여경제적인 DDoS 대응체계구축이가능해졌다. 하지만웹 DDoS 대피소시스템은 HTTP를다루는웹서버만을보호대상으로한다. 웹캐시서버는 HTTP 이외의 SMTP, FTP, DNS 등다른종류의응용서비스에대해서는캐싱이불가하기때문이다. 그러나최근에는 DNS, SMTP 등웹이외의응용서비스에대한 DDoS 공격이증가하고있다. 따라서이러한응용계층서버를공격하는 DDoS 공격트래픽에대해서는 DDoS 대피소시스템이외의별도의보안시스템이필요하다 [31].

43 제 5 장시스템구현및기능검증 제안한웹 DDoS 대피소시스템을국내 ISP의백본네트워크에시범구축하고테스트웹사이트를대상으로웹 DDoS 공격시도하여공격대응기능을검증하였다. 기능검증의첫단계로웹캐시서버의주요기능이정상으로작동하는지여부를확인하였다. 이어서평상시보호대상웹서버의웹로딩속도와 DDoS 공격이발생하여웹 DDoS 대피소로공격트래픽을우회, 차단한후웹캐시서버에서정상적으로응답해주는웹페이지를표시할때의웹로딩속도를분석하였다. 기능검증시테스트용 DDoS 공격트래픽을발생하기위하여모의 DDoS 시스템을구성하였다. < 그림 5-1> 은모의 DDoS 시스템의관리페이지이다. 모의 DDoS 시스템은웹 DDoS 대피소시스템이구축된동일한백본네트워크상에마스터서버 1대와좀비 PC 15대로구성된봇넷 ( 좀비 PC군 ) 과공격종류, 공격시간, 공격량, 공격목표등을설정할수있는관리서버로이루어졌다. 모의 DDoS 시스템에사용된좀비 PC의사양은다음과같다. - CPU: Intel Xeon Dual Core 2.0 Ghz - Memory: 4G(2G*2) - OS: CentOS release 5.6(Final)

44 5.1 웹캐시서버기능검증 DDoS 차단시스템하위에웹캐시서버를구성하고 < 표 5-1> 의 10개항목을포함한리버스웹캐싱을비롯한총 22개항목에대하여웹캐시서버기능검증을실시하였다. 웹캐시서버의사양은다음과같다. - CPU: Intel Xeon CPU 2.40GHz - Memory: 32GB(8G*4) - OS: 64bit CentOS Linux kernel Disk Storage: 5TB 기능검증항목은국제 ISO9001 및국내 NET 신기술인증, Inno-Biz 인증기준에의거하여선정하였다. 기능검증결과전항목에서해당기능이정상동작하며 DDoS 대피소시스템운용환경에적합한결과를보였다. 번호시험항목결과내용 1 장비 1대당최대접속세션수양호최대 100만세션 (1000 kpps) 지원 2 리버스캐싱기능지원및멀티도메 인리버스캐싱기능시험 양호 10개이상의도메인설정후실제웹페이지캐 싱정상동작확인 ( 포털, 신문, 금융등 ) 3 웹세션관리기능시험양호세션관리를위한연결지속관리기능정상동작 4 JPG, GIF, PNG / HTML, HTM, XML / Flash / 파일등에대하여캐싱을지원하는지확인 양호 access.log 분석결과각파일의 Request 에대 하여 HIT/200 확인 웹 Cache 내에전달된 Content 의 5 TTL(Max-age) 값의변경이가능한지확인 ( 세션 Timeout 설정 ) 양호 HTTP 최소, 최대객체갱신시간을설정확인 6 특정파일타입에대한강제캐시, 캐시해제기능을지원하는지확인 양호 강제캐싱정책설정확인 7 장비내부적으로 Process 및 CPU에대한부하분산여부 양호 멀티프로세싱및 CPU 로드밸런싱작동확인 8 하드디스크의기본캐싱이외에 RAM 상에서도 Caching Size 할당여부 양호 시스템정보의메모리캐시크기확인하여최 대 5GB 의캐싱사이즈확인 9 이미지캐싱을위한디스크캐시방식을지원하는지확인 양호 시스템정보에서메모리캐시와디스크캐시 크기와실제디스크사이즈변화량확인 10 SSL 기능제공확인양호 443 포트를사용한 https 페이지정상출력

45 5.2 웹로딩속도평가 보호대상웹서버에서직접응답을받는경우와테스트웹사이트가웹캐시서버에 수용되었을경우의메인웹페이지응답시간을측정하였다. 응답시간측정에사용한툴 은 CacheFlow WebTimer Version 2.3.5이다. 일반인터넷가입자의 PC로시간간격 5 초, 반복횟수 5회로웹페이지를요청하여, 응답시간의평균값을계산하였다. 구분 Client1( 서울강서, 타ISP) Client2( 경기성남, 동일 ISP) 1 평상시 보호대상웹서버 364 ms 209 ms 2 공격시 웹캐시서버 515 ms 228 ms 2 / < 표 5-2> 에서 Client1은웹 DDoS 대피소시스템과다른타ISP에가입된일반사용자가테스트웹페이지에접속할시웹로딩속도를측정한결과이며, Client2는웹 DDoS 대피소시스템과동일 ISP의가입자가웹로딩속도를측정한결과이다. 웹로딩속도측정결과웹 DDoS 공격방어후웹캐시서버로부터의로딩시간은평상시보호대상웹서버로부터직접로딩시간대비각각 1.09, 1.41배의값을보였다. Clinent1 과 Client2의로딩속도변화에차이가나는이유는동일 ISP의네트워크가아닌경우타사네트워크와의접속구간을거쳐야하기때문에공격방어시로딩속도가느려지는결과를보이기때문이다.

46 제 6 장결론및향후연구방향 본논문은기존의 DDoS 대피소시스템에 L7 스위치와웹캐시서버를추가구성하여웹 DDoS 공격을방어하고, 웹캐시서버로부터웹콘텐츠를직접응답해주도록함으로써 IP 터널링을사용하지않고도웹 DDoS 보안서비스를이용할수있는웹 DDoS 대피소시스템을제안하였다. 시스템구현에앞서각 OSI 계층별 DDoS 공격특징과웹 DDoS 공격의특징을비교, 분석해보고 DDoS 공격대응매커니즘의연구동향을살펴보았다. 웹 DDoS 공격은소량의트래픽으로도다양한응용공격을시도하므로기존의 DDoS 대피소시스템의수치적분석에기반한공격탐지, 대응메커니즘로는효과적으로대응하기어렵다. 한편, 기존 DDoS 대피소시스템에서 DDoS 차단시스템의필터링을거친정상트래픽이최종목적지에도달하기위해서는 IP 터널링이필수적으로지원되어야하며, IP 터널링이설정되지않을시에는트래픽루핑이발생한다는한계점이존재한다. 이러한기존 DDoS 대피소의단점을보완하기위해서기존 DDoS 대피소시스템의 DDoS 차단시스템과대피소라우터의하단에 L7 스위치과웹캐시서버를추가구성한웹 DDoS 대피소시스템구성을제안하였다. 제안된웹 DDoS 대피소시스템은국내 ISP 백본네트워크에시범구축된후기능검증을통하여웹응용계층 DDoS 공격방어및웹서비스가용성유지의유효성을검증받았다. 웹 DDoS 대피소시스템은웹 DDoS 공격발생시공격트래픽과정상트래픽이혼재된모든트래픽을대피소방향으로우회한뒤, DDoS 차단시스템과 L7 스위치가협력하여 TCP Connection 관리와 HTTP 세션관리, 비정상적인 HTTP Request를차단등을통하여웹응용계층의 DDoS 공격을방어한다. 또한, 웹캐시서버는보호대상서버로부터캐싱해놓은동적 / 정적콘텐츠를응답해줌으로써 IP 터널링설정이불가능한라우터에수용되어있는서버라하더라도 DDoS 대피소시스템을구성할수있게한다. 또한, 웹 DDoS 공격이발생하여웹 DDoS 대피소시스템으로부터의웹페이지응답을할시에로딩속도에큰지연이없이서비스가용성을유지할수있다. 즉, 웹 DDoS 대피소시스템은기존 DDoS 대피소시스템이지닌두가지의한계점을보완할수있다는결론을얻는다.

47 본논문연구에서는웹 DDoS 대피소시스템의기능검증실험을실시하였다. 이어지는후속연구에서는웹 DDoS 대피소의구현과기능검증에이어소량의트래픽으로이루어지는웹 DDoS 공격에대한방어성능평가실험을수행할것이다. 최근에는 DNS, 메일서버등을대상으로한응용계층 DDoS 공격이증가하는추세이다. 하지만, 제안한웹 DDoS 대피소시스템은웹콘텐츠만을캐싱하기때문에웹서버를대상으로한공격방어에제한된다는한계점이여전히존재한다. 향후에는이러한한계점을보완하기위하여 TCP 프록시서버를추가하여 TCP 계층이상의어떤응용계층프로토콜에대한 DDoS 공격에대해서도방어를할수있는 DDoS 대피소시스템구성에대한연구가필요하다. 그와더불어 L7 스위치의로드밸런싱기능을이용하여캐시서버를다중화함으로써동시다발적인대규모공격의방어에대한방어시스템구축에대한연구방향을모색해야할것이다.

48 참고문헌 [1] Supranamaya Ranjan, Ram Swaminathan, Mustafa Uysal, Antonio Nucci, Edward Knightly, DDoS-Shield: DDoS-Resilient Scheduling to Counter Application Layer Attacks, Networking, IEEE/ACM Transactions on, Volume.17, Issue.1, Feb [2] Yang-Seo Choi, Jin-Tae Oh, Jong-Soo Jang, Integrated DDoS Attack Defense Infrastructure for Effective Attack Prevention, Information Technology Convergence and Services (ITCS), nd International Conference on, Aug [3] Nam-Seok Ko, Sung-Kee Noh, Jong-Dae Park, Soon-Seok Lee, Hong-Shik Park, An efficient anti-ddos mechanism using flow-based forwarding technology, Optical Internet (COIN), th International Conference on, Jul [4] A. Ramamoorthi, T. Subbulakshmi, S. Mercy Shalinie, Real time detection and classification of DDoS attacks using enhanced SVM with string kernels, Recent Trends in Information Technology (ICRTIT), 2011 International Conference on, vol. 17, No. 1, Jun [5] J. Mirkovic, G. Prier, and P. Reiher, Attacking DDoS at the Source, Proceedings of ICNP 2002, Nov [6] U. Tupakula and V. Varadharajan, A Practical Method to Counteract Denial of Service Attacks, In Proceedings of ACSC 2003, Feb [7] Y. Chen, K. Hwang, and W. Ku, Collaborative Detection of DDoS Attacks over Multiple Network Domains, IEEE Transations on Parallel and Distributed Systems, [8] Fei Wang, Xiaofeng Wang, Jinshu Su, and Bin Xiao, VicSifter: A Collaborative DDoS Detection System with Lightweight Victim Identification, Trust, Security and Privacy in Computing and Communications (TrustCom), 2012 IEEE 11th International Conference on, Jun [9] Y. Xie and S.-Z. Yu, Monitoring the Application-Layer DDoS Attacks for Popular Websites, IEEE/ACM Transaction on Networking, vol. 17, No. 1, Feb.2009.

49 [10] Yi Xie, Shun-zheng Yu, Monitoring the Application-Layer DDoS Attacks for Popular Websites, Networking, IEEE/ACM Transactions on, Volume.17, Issue.1, Feb [11] Veronika Durcekova, Ladislav Schwartz, Nahid Shahmehri, Sophisticated Denial of Service Attacks Aimed at Application Layer, ELEKTRO, May [12] S. Renuka Devi, P. Yogesh, An Effective Approach to Counter Application Layer DDoS Attacks, Computing Communication & Networking Technologies (ICCCNT), 2012 Third International Conference on, Jul [13] Baik, N., Sungsoo Ahn, Namhi Kang, Effective DDoS Attack Defense Scheme Using Web Service Performance Measurement, Communications Magazine, Ubiquitous and Future Networks (ICUFN), 2012 Fourth International Conference on, Jul [14] Sujatha Sivabalan1, Dr P J Radcliffe, A Novel Framework to detect and block DDoS attack at the Application layer, TENCON Spring Conference, 2013 IEEE, Apr [15] 전용의, 장종수, 오진태, DDoS 공격및대응기법분류, 한국정보보호학회지제19권제3호, [16] Saman Taghavi Zargar, James Joshi, David Tipper, A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks, Communications Surveys & Tutorials, IEEE, Volume. 15, Issue. 4, Mar [17] 유승엽, 박동규, 장종수, URI 및브라우저행동패턴의특성을이용한 HTTP get flooding 공격탐지알고리즘, 한국정보기술학회논문지, 제9권제1호, [18] 이대섭, 원동호, Content-Length 통제기반 HTTP POST DDoS 공격대응방법분석, 한국정보보호학회논문지, 제22권제4호, [19] 심원태, 분산서비스거부공격유형별웹서비스의침해영향력비교분석, 전남대학교대학원정보보호협동과정이학박사학위논문, [20] 김동맹, DDoS 공격대응을위한정보시스템최적화방안연구, 건국대학교정보통신대학원정보통신학과공학석사학위논문, [21] 김진, 오창석, IP Session Tree를이용한 GET Flooding 형태의 DDoS 공격탐지, 한국정보기술학회논문지, 제10권제8호, 2012.

50 [22] Myungkeun Yoon, Using Whitelisting to Mitigate DDoS Attacks on Critical Internet, Communications Magazine, IEEE, Volume.48, Issue.7, Jul [23] 이태진, 임채수, 임채태, 정현철, 웹서비스대상경량화된응용계층 DDoS 공격대응메커니즘, 한국정보보호학회논문지, 제20권제5호, [24] [25] Ahmad Sanmorino, Setiadi Yazid, DDoS Attack detection method and mitigation using pattern of the flow, Information and Communication Technology (ICoICT), 2013 International Conference on, Mar [26] PyungKoo Park, SeongMin Yoo, HoYong Ryu, Cheol Hong Kim, Service-Oriented DDoS Detection Mechanism Using Pseudo State in a Flow Router, Information Science and Applications (ICISA), 2013 International Conference on, Jun [27] Jin Wang, Xiaolong Yang, Keping Long, Web DDoS Detection Schemes Based on Measuring User's Access Behavior with Large Deviation, Global Telecommunications Conference (GLOBECOM 2011), 2011 IEEE, No. 1, Dec [28] [29] [30] 한국인터넷진흥원인터넷침해사고대응지원센터, DDoS 공격대응가이드, [31] 한국인터넷진흥원해킹대응팀박용규, 사이버대피소를통해본 '12년도 DDoS 공격동향분석, Internet & Security Focus 월호

51 by

52

53

54 감사의글 보안관제와컨설팅업무를수행하던 2010년초겨울무렵, 컴퓨터에관한깊은지식을바탕으로실무능력을증진하고자방송통신대학교정보과학과석사과정을시작하였습니다. 그리고어느덧 3년이지나이렇게교과목이수와학위논문심사를모두무사히마치고졸업을하게되었습니다. 이모든것은주위고마우신분들의도움과배려가있었기때문에이뤄낼수있었던과정이었다고생각합니다. 먼저부족한제자에게올바른연구방향을제시해주시며조언과칭찬을아끼지않으신지도교수김강현교수님께진심으로감사드립니다. 김강현교수님의자상하고따뜻한가르침덕분에직장생활과함께병행했던논문연구일정을큰무리없이진행할수있었습니다. 또한, 연구와강의로바쁘신와중에도논문심사를맡아주시어세밀하게논문을검토해주시고미흡한부분을보완할수있도록지도해주신이병래교수님, 정재화교수님께도감사드립니다. 5학기과정동안좋은가르침을주신정보과학과교수님과튜터님들께도감사드리며, 논문심사를비롯하여중요일정과서류등을친절하게챙겨주신학과사무실최우성선생님께도감사드립니다. 함께연구를진행하면서논문내용을고민하며조언을아끼지않으신네트워크시뮬레이션연구실의김재형원우, 김계희원우, 배극도원우, 김년우원우께감사드립니다. 졸업후에도계속해서좋은인연을이어나갔으면좋겠습니다. 특별히논문작성논문작성방법과학술대회발표등과관련하여도움을주신이종원선배님께도감사의말씀을올립니다. 무엇보다네트워크보안팀에서근무하는동안논문의주제가된웹 DDoS 방어 업무를감독해주시고많은경험과지식을전수해주신장현철과장님! 정말감사합 니다. 새로운직장에서도보안에대한열정잃지않으시길기원하겠습니다.

55 직장생활을하면서도학업을이어나가며논문을작성할수있도록배려해주시고도움을주셨던김성룡팀장님, 최명희팀장님, 이용익실장님을비롯한모든 KT 네트워크관제센터의선배님들과후배분들, KT 경제경영연구소의김효실상무님, 이동환팀장님, 박철홍매니저, 유현재매니저, 이승진매니저를비롯한선배님, 동기, 후배분들께감사의말씀을드리고싶습니다. 특히, 이제는직장동료를넘어소중한인생의동반자가된보안팀동기들고세환, 이규하, 최석봉, 장지은, 주재응, 이진한, 최지훈, 최충배, 이한나. 정말감사합니다. 끝으로논문연구기간동안많이응원하고힘이되어준분과언제나저를믿어 주시고아껴주시는아버지박성희님, 어머니임미란님. 사랑합니다. 앞으로더욱 효도하고아끼는박재형이되겠습니다. 다시한번이글을읽는모든지인들께감사드립니다.

56 본인은한국방송통신대학교대학원이본인의학위논문을데이터베이스화하여내용의 일부또는전부를어떤형태로든국내 외이용자에게열람시키거나배포하는것에 동의합니다 학 위 이학석사 졸업년도 년 전 공 정보과학 한글 웹응용계층 대응을위한웹 대피소시스템 학위논문명 영문 동의여부 찬성 조건부찬성 반대 조건또는사유 만약조건부로찬성하거나반대한다면그조건및사유를기재하여주시기바랍니다 년 월 일 논문저자명 박재형 서명또는날인 한국방송통신대학교총장귀하