제출문 한국인터넷진흥원귀하 본보고서를 DNS 대상 DDoS 공격방어를위한대피소모델연 구 의최종연구개발결과보고서로제출합니다 년 7 월 27 일 주관기관 : 한국인터넷진흥원참여연구원 : 노명선 ( 침해사고대응단, 단장 ) 전길수 ( 해킹대응팀, 팀장 ) 박용규

Size: px
Start display at page:

Download "제출문 한국인터넷진흥원귀하 본보고서를 DNS 대상 DDoS 공격방어를위한대피소모델연 구 의최종연구개발결과보고서로제출합니다 년 7 월 27 일 주관기관 : 한국인터넷진흥원참여연구원 : 노명선 ( 침해사고대응단, 단장 ) 전길수 ( 해킹대응팀, 팀장 ) 박용규"

Transcription

1 최종연구보고서 KISA-WP DNS대상 DDoS 공격방어를위한대피소모델연구 A Study on Emergency Refuge Model for Mitigating DDoS Attack against DNS 수탁기관 : ( 주 ) 올레이어

2 제출문 한국인터넷진흥원귀하 본보고서를 DNS 대상 DDoS 공격방어를위한대피소모델연 구 의최종연구개발결과보고서로제출합니다 년 7 월 27 일 주관기관 : 한국인터넷진흥원참여연구원 : 노명선 ( 침해사고대응단, 단장 ) 전길수 ( 해킹대응팀, 팀장 ) 박용규 ( 해킹대응팀, 책임연구원 ) 박영욱 ( 해킹대응팀, 주임연구원 ) 수탁기관 : ( 주 ) 올레이어연구책임자 : 이병희 ( 부서, 책임연구원 ) 참여연구원 : 손경수 ( 부서, 책임연구원 ) 최종호 ( 부서, 책임연구원 ) 이상욱 ( 부서, 선임연구원 )

3 요약문 1. DNS 대상 DDoS 공격방어를위한대피소모델연구 2. 연구개발의목적및중요성 DNS는전세계인터넷서비스의주소를제공하는기능을하는핵심인프라시스템으로, 계층적구조로구성되어있으며서비스등록및중개를위하여 DNS 서버들이전세계적으로분산관리되고있다. 이러한분산화및개방성으로인하여 DNS 서버는언제든지 DDoS 공격의주요대상이되고있으며, DNS DDoS 공격에의한서비스장애는인터넷서비스의불안을초래하기도하고사회경제적으로도그파급효과가매우큰특징을갖고있다. 일반적으로대형 DNS 서비스운영업체들은이러한 DNS의취약점을보완하고자체서비스보호를위하여비정상적트래픽차단시스템및방어시스템, 트래픽분산을통한서비스장애를최소화하기위한시스템들을구축하고있지만, 중소규모의 DNS 서비스운영업체들은이러한 DDoS 공격을방어할만한시설을구축하기힘들뿐만아니라, 자체 DNS 관리전문인력도확보하기어려워, DNS DDoS 공격에취약한구조로서비스를제공하고있는실정이다. 본연구는이러한 DNS 서비스운영업체들의공격취약성을해결하기위한 DNS 서비스대피소모델을연구함으로써, DNS DDoS 공격에대한사전예방을위한분석을통한 DDoS 공격의확산방지, DNS 서비스운

4 영업체의서버장애시에도지속적인서비스가가능하도록함으로써무중단서비스가가능하도록하고, DDoS 발생시에도즉각적인방어체계를구축하기위한모델들을제시하여전반적인 DNS 서비스품질향상을도모할뿐만아니라인터넷이용고객등을대상으로한 DNS 서비스안정화에기여하고자한다. 3. 연구개발의내용및범위 본연구의주요내용은첫째, DNS대상 DDoS에대한현황및동향을분석, 둘째, DNS서비스를제공하는업체들의 DNS DDoS 공격사례분석, 셋째, DDoS 공격을완화시킬수있는방안들의현황들을분석, 넷째, DNS DDoS 공격을완화시킬수있는방법및취약한 DNS 서비스제공업체에대한 DNS 대피소를활용하는방안을도출하는것으로한다. 4. 연구결과 ㅇ DNS 서비스에대한전반적인이해를통하여 DNS 서비스제공시공격취약성및파급효과분석결과ㅇ DNS 서비스제공현황분석및 DDoS 공격사례분석결과ㅇ DNS DDoS 공격방어를위한 DNS 트래픽분산방법연구결과ㅇ DNS 대피소모델정립을위한기존분산방어체계의적용문제점분석결과ㅇ DNS 대피소모델에대한구체화및사업화적용가능성 5. 활용에대한건의 본연구는주요 DDoS 공격대상인 DNS 서버들에대한 DNS 서비스가 용성확대및안정적인보호를위하여호스팅업체 DNS 를보호하기위 한대피소운영모델을제안하는것으로써, 본대피소모델을통하여호

5 스팅업체가제공하는 DNS 서비스에대한보호및대국민인터넷서비 스를보호할것으로기대된다. 특히, DNS 서비스를제공하는영세업체 들에게도활용할수있는기회가생길것으로기대된다. 6. 기대효과 DNS 대피소모델은인터넷서비스주소검색인프라로써역할을수행하는 DNS의 DDoS 취약성및장애한계를극복하기위하여대피소와공동협력하여운영하는방안을제시함으로써, DNS 서비스에대한 DDoS 방어능력확대및서비스장애에따른사회 / 경제적피해를최소화함으로써인터넷서비스안정성을향상시키는계기가될것으로기대한다. 특히, DNS 구조및네트워크기능을활용하여네트워크대역폭고갈공격, DNS 서버응용계층형공격및 APT와같은지능화된 DDoS 공격등에대하여 DNS 대피소를통하여공격에대한사전징후를탐지하여적극적인사전방어체계를구축하고, DDoS 공격확산방지에대한메커니즘을제시함으로써보다신뢰성을향상시킬것으로기대한다.

6 목차 제 1 장연구개요 1 제 1 절개요 1 제 2 절추진배경및필요성 1 제 3 절수행목적및범위 2 제 4 절기대효과 3 제 2 장 DNS 서비스개요 5 제 1 절네임스페이스 5 제 2 절 DNS 처리절차 7 제 3 절 DNS 구조 7 제 4 절 Zone 파일 12 제 5 절 DNS 소프트웨어들 13 제 6 절 DNS 서비스특징 14 제 7 절 DNS 서비스취약성 15 제 3 장 DNS 서비스제공 18 제 1 절도메인네임분포현황 18 제 2 절 DNS 서비스제공장비들 20 제 4 장 DDoS 공격및현황분석 25 제 1 절 DDoS 공격유형 28 제 2 절 DDoS 공격현황 29 제 3 절 DNS DDoS 공격 38 제 5 장 DDoS 공격방어를위한서비스모델 46 제 1 절전통적공격방어 46 제 2 절 Anycast기반부하분산 48 제 3 절 Netflow+DPI 적용 51 제 4 절 GSLB기반부하분산 53 제 5 절클라우드기반부하분산 55

7 제 6 장 DNS 대피소모델 58 제 1 절기존부하분산방안의문제점분석 59 제 2 절대피소모델적용을위한고려사항 64 제 3 절대피소구축운영모델 73 제 4 절대피소 DNS의부하분산방안 77 제 7 장결론 92 참고문헌 94

8 그림목차 ( 그림 2-1) 도메인네임체계 6 ( 그림 2-2) DNS 질의절차 8 ( 그림 2-3) 도메인네임스페이스와리소스레코드 10 ( 그림 3-1) DNS 소프트웨어패키지구성요소 20 ( 그림 3-2) 일반 DNS 서버구축형태 22 ( 그림 4-1) DDoS 공격방법 26 ( 그림 4-2) DDoS 전파단계 27 ( 그림 4-3) DDoS 유포경로 28 ( 그림 4-4) DDoS 공격주요변화 30 ( 그림 4-5) 7.7. DDoS 공격분석 31 ( 그림 4-6) 3.4. DDoS 공격분석 31 ( 그림 4-7) 최근악성코드유형분석 32 ( 그림 4-8) 2012년 1분기 DDoS 공격분포 34 ( 그림 4-9) DDoS 공격유형변화비교 (2011년 1Q 대비 2012년 1Q) 35 ( 그림 4-10) DNS 캐시포이즈닝과정 40 ( 그림 4-11) DNS White Horses DDoS 공격 42 ( 그림 4-12) 응용계층 DDoS 공격목적지분포 44 ( 그림 4-13) 응용계층 DDoS 공격목적지분포 (Atlas 분석 ) 44 ( 그림 4-14) DNS 공격에의한 DNS 서버장애분포 (Arbor 분석 ) 45 ( 그림 5-1) DDoS 공격방어를계층적방어방법 46 ( 그림 5-3) 네트워크기반 Anycast 이용효과 50 ( 그림 5-4) DPI기반 DDoS 방어방법 52 ( 그림 5-5) GSLB를이용한 DDoS 방어방법 55 ( 그림 5-6) 클라우드기반 DDoS 방어방법 56

9 ( 그림 6-1) Anycast 방식적용 60 ( 그림 6-2) Netflow+DPI 방식적용 62 ( 그림 6-3) GSLB 방식적용 63 ( 그림 6-4) DNS 기능별및주요특징 66 ( 그림 6-5) NS의 Round_Robin 처리메커니즘 69 ( 그림 6-6) 대피소보안시스템주요구성 70 ( 그림 6-7) DNS 패킷이상징후수집및분석메커니즘 72 ( 그림 6-8) 대피소 DNS 운영모델 74 ( 그림 6-9) 개방형서비스모델구성 78 ( 그림 6-10) 은닉형서비스모델구성 78 ( 그림 6-11) 개방형서비스구성도 79 ( 그림 6-12) 개방형서비스구성에따른구간별역할 81 ( 그림 6-13) 개방형모델에서의동작과정 81 ( 그림 6-14) 개방형모델에서의 DNS DDoS 대응요구사항 82 ( 그림 6-15) 개방형모델에서의전체처리절차 84 ( 그림 6-16) 은닉형서비스구성도 85 ( 그림 6-17) 은닉형서비스구성에따른구간별역할 86 ( 그림 6-18) 은닉형모델에서의동작과정 87 ( 그림 6-19) 은닉형모델에서의 DNS DDoS 대응요구사항 88 ( 그림 6-20) 은닉형모델에서의전체처리절차 89

10 표목차 [ 표 2-1] DNS 레코드종류 11 [ 표 2-2] DNS소프트웨어종류 13 [ 표 2-3] DNS 보안이슈및해결방안 17 [ 표 3-1] 전세계도메인등록현황 18 [ 표 3-2] Kr 도메인현황 ( ) 19 [ 표 3-3] 네임서버호스트의숫자 ( ) 19 [ 표 3-4] DNS 쿼리분포 19 [ 표 3-5] DDI 마케팅스코프분석 24 [ 표 4-1] DDoS 공격유형 29 [ 표 4-2] 최근악성코드감염통계 33 [ 표 4-3] 최근 APT 공격현황 37 [ 표 5-1] DDoS 공격방어를위한방법들 48 [ 표 5-2] 네트워크기반 Anycast 방법에대한장점 50 [ 표 6-1] 개방형과은닉형서비스모델비교 91

11 제 장연구개요 제 1 절개요 위탁과제명 : DNS대상 DDoS 공격방어를위한대피소모델연구 계약기간 : 2012년 4월30일 ~ 2012년 7.29일 (3개월) 계약금액 : 일금삼천만원정 주관기관 : 한국인터넷진흥원 수행기관 : ( 주 ) 올레이어 주요내용 - DNS대상 DDoS 공격기법및공격현황조사 - DNS 서비스제공장비및 DDoS 공격방어를위한방법분석 - DDoS 공격완화를위한트래픽분산및대피소적용방안도출 제 2 절추진배경및필요성 DNS는인터넷서비스를위한핵심인프라시스템으로사람들이서비스를쉽게접근할수있도록의미있는문자화된도메인네임에대한실제적인 IP주소를맵핑하여서비스를제공하는시스템이다. 이러한 DNS는인터넷상에서음성서비스에서의전화번호와같은역할을수행한다. 그러나누구나쉽게접근이가능한 DNS 서비스의특성상 DNS는사이버공격의주요타깃이되어왔다. DNS 서버의서비스장애또는 DNS에데이터화되어있는도메인네임의오설정은인터넷서비스의마비를초래할수있으므로철저한보안관리가중요하다. 하지만 DNS DDoS 공격은방화벽 /IPS 등전통적인보안장비를통해보호될수있는성격을갖고있지않고, 인터넷서비스를

12 제공하기위해정상적으로요청되는모든 DNS 질의에응답해야하므로다른인터넷서비스인프라에비해사이버공격의위협에더욱많이노출되어있는실정이다. 이와같이, DNS는인터넷서비스를위한핵심인프라이지만, 서비스특성상 DDoS 공격에매우취약하고서비스장애시사회적, 경제적으로막대한손실을초래할수있는문제점을갖고있다. 또한, 대부분의국내 DNS 서비스업체들은대규모 DDoS 공격발생시정상적인서비스를제공할수없다. 그러므로 DNS서비스를보다안정적으로제공하기위해서는우선적으로취약한구조로서비스를제공하는호스팅업체들에대한 DNS DDoS 공격을방어하기위한방안으로대피소모델을제공하여보다안정적으로서비스를제공함과아울러, DDoS 공격에대한징후들을분석하고사전예방할수있는메커니즘을제공할필요가있으며, 본과제를통하여 DNS 대피소모델을위한서비스모델을제시하고자한다. 제 3 절수행목적및범위 본연구의주요내용은 DNS대상 DDoS에대한현황및동향을분석하고, DNS서비스를제공하는업체들의 DNS DDoS 공격사례및 DDoS 공격을완화시킬수있는방안을분석하여, DNS DDoS 공격을완화시킬수있는방법및취약한 DNS 서비스제공업체에대한 DNS 대피소를활용하는방안을도출하는것으로한다. 1. DNS 서비스체계, 구성및절차를통한 DNS의근본적인취약점에대하여분석한다. 2. DNS DDoS 공격을초래하는 DDoS에대한공격방법및공격분류를통하여 DNS만의문제가아닌, DDoS 공격을위하여 DNS가공격의수단으로사용되는과정을분석한다.

13 3. DNS 서비스를위한 DNS 전용장비들의특징및 DNS 전용장비들을이용하더라도 DNS DDoS를완화시키기위한분산장비들에대한현황을분석한다. 4. DNS 서비스제공업체들의 DNS 트래픽분석및 DDoS 공격에대한분석을통하여 DNS 서비스업체들의서비스취약점및개선방안들을도출한다. 5. DNS DDoS 공격의취약성이높은 DNS 서비스업체를위한 DNS 대피소서비스모델을도출함으로서, 보다안정적인 DNS 서비스를제공하는방안을제시한다. 제 4 절기대효과 DNS는안정적인서비스제공을위해투명화, 분산화, 계층화하여구축되어있으나, 서비스구조의특성상방화벽, IPS 등일반보안장비를통한방어가어렵고, 누구나쉽게접근하여서비스장애를유발시킬수있다. 그러나캐시서버및상위레벨 DNS는서비스보호를위한 DDOS 대응장비및 Anycast 기술을적용한지역분산적인서버구축을하지만, 권한위임 DNS를운영하는호스팅업체의 DDoS 공격방어를위해서는추가적인비용을들여 DDoS 대응시스템을구축하여야한다. 그러므로본과제에서는 DNS DDoS 공격에취약한서비스제공업체를중심으로 DDoS 공격에대한사전징후탐지, 서비스품질분석, DDoS 공격시적절한대응체계를갖추지못한일부중 / 소규모 DNS 서비스제공업체에대한 DDoS 공격등으로인한서비스장애시에대피소 DNS에서서비스를제공함과동시에 DNS DDoS 공격에대한최소화를위한대응체계를갖추고, 세밀한 DDoS 분석체계를도입하여서비스제공업체들의서비스보호및대국민서비스에대한신뢰성을높일것으로기대한다.

14 ( 그림 1-1) DNS DDoS 공격방어를위한대피소모델연구기대효과

15 제 장 서비스개요 DNS(Domain Name System) 는호스트명과 IP주소를서로맵핑시켜관리하고있는서버로써, 인터넷상에서정보를연결해주는가장중요한핵심인프라이다. 즉, DNS 장애가발생되면해당 DNS를이용하는모든호스트들은상대호스트에대한실제 IP주소를알수가없으므로, 인터넷을사용할수없는극한상황에놓이게되는것이다. DNS는단말로부터호스트에대한 IP주소를요청할때이에대한응답을단말에제공하며, 반대로 IP주소에대한호스트명을응답할경우에도사용된다. 호스트들은각각도메인으로데이터화되어있으며, 인터넷상에서실제사용하는물리적인 IP주소와사람들이기억하기쉬운도메인네임으로구분할수있다. 즉, 도메인네임은사람들이기억하고인터넷을보다사용하기쉽게주소에대응하는문자로된주소를의미한다. 제 1 절네임스페이스 도메인네임은전세계적으로유일한주소체계를갖고있어야한다 예를들면 은전세계적으로유일한주소이어야하며 중복할당되어서는안된다 그러나이러한주소체계는전세계적으로 에의하여지정된형태로할당되고서비스되도록체계화되어있다 즉 는체계적인계층적구조를갖고있으며 모든노드는최대 개의문자로이루어지는 을가지며트리의루트는특별한노드로서 을갖고있다 트리내의어떠한노드의도메인네임도 등과같이 의리스트로이루어지며그노드에서시작되어루트쪽으로올라가고 간은점으로구분된다 트리내의모든노드는앞서언급한것처럼같은도메인내에서는각자고유한도메인

16 네임을갖고있다 그림 은 의트리구조의계층적구성을보여주고있다 그림에서보는바와같이 최상위에 도메인이존재하며 그밑에 가존재하고 그하위에각각의고유한도메인네임을관리하는노드들로구성된다 이와같이 의계층적 인도메인네임구조는루트도메인 으로부터시작하여각서브도메인으로위임 하는구조로형성한다 최상위의루트도메인 은특수한도메인으로써모든도메인의부모도메인 이다 모든도메인은루트도메인으로부터위임받은서브도메인 으로정의된다 그림 도메인네임체계 도메인노드는전세계적으로 개서버가존재하며 모든 를검색하여제공하는역할을수행한다 아울러 는전 세계적으로도메인을참조하도록하는중요한서버이기에많은복사본들 을이용하여 에대한질의에대한속도를향상시킴과아울러 공격등을효과적으로분산시키도록하고있다 최상위도메인 은 범용도메인 국가별도메 인 인터넷인프라도메인 으로구분할수있다 최상위도메인중범용도메인

17 은 라하고 국가별도메인은 라한다 이외에인터넷인프라도메인은특 수한도메인으로써 도메인을지칭한다 제 2 절 DNS 처리절차 DNS는앞에서언급한바와같이도메인네임에맵핑되어있는 IP주소를찾아서클라이언트에게응답해주는시스템이다 ( 그림 2-2). 클라이언트는로컬네임서버로질의를전달하게되고, 로컬네임서버는요청된데이터를도메인내에서찾으면그에해당하는 IP 주소로응답한다. 만약로컬네임서버가요청된데이터를찾지못하면다른네임서버로질의를전달하게되는데, 최악의경우로컬네임서버의질의는 DNS트리의최상위에있는루트네임서버에서시작하여 tlddns를거쳐하위권한위임 DNS에서요청된데이터가발견될때까지아래로전달되게된다. 만약에로컬네임서버가캐시를구현하고있다면, 캐시내에서질의에대한응답을클라이언트로전달한다. 제 3 절 DNS 구조 DNS 서비스를제공하기위한 DNS 의구조는크게도메인네임공간 (Domain Name Space) 및리소스레코드 (Resource Record), 네임서버 (Name Server), 리졸버 (Resolver) 의 3 가지기능요소로구성된다.

18 ( 그림 2-2) DNS 질의절차 1. 도메인네임공간 도메인네임공간 (Domain Name Space) 은흔히인터넷에서사용되고있는도메인네임의계층적구조공간을의미한다. 호스트네임을지칭한다. 도메인네임공간의분배와도메인네임의할당은전세계적으로도메인네임할당기관을통해체계적으로할당, 관리되고있다. 이를통해인터넷상에서특정도메인네임은언제나유일한네임 (globally unique name) 으로써유지된다. 도메인네임공간은네임주소영역을분배, 할당, 구성하는방식을제공한다. 트리 (tree) 형태의계층적구조를갖는도메인네임공간을가리켜도메인트리 (Domain Tree) 라고도한다. 2. 리소스레코드 (Resource Record) 리소스레코드 (Resource Record) 는도메인네임공간중에서지정된도 메인네임, 즉네임 (name) 에대해필요한인터넷자원 (resource) 정보를

19 맵핑하는수단을제공한다. 예를들어 IP 주소가 일경우, 이를인터넷상에알려주기위해서는 (name) 에대해 IP 주소속성을연결시켜 DNS 데이터베이스를구성하여야한다. 이는 zone 파일을사용하여 IN A 이라는형태의표기를사용하여설정한다. 이러한하나의도메인네임 (domain name) 이가지는속성정보를지정하는수단으로정의된것이리소스레코드 (resource record) 이다. 리소스레코드 (resource record) 는확장이가능하다. 즉, IPv4 네트워크주소정보를설정하기위해 A type의리소스레코드 (resource record) 가사용되고있으나이제 IPv6가도입됨에따라 IPv6 네트워크주소정보를설정하기위해 AAAA type의리소스레코드 (resource record) 가추가로정의되었다. 리소스레코드의확장은기존에정의된리소스레코드에대한영향없이이루어진다. 리소스레코드 (resource record) 는도메인네임시스템체계에있어도메인데이터베이스를구성하는역할을한다. 도메인네임은인터넷상에서사용하는각종자원 (resource) 정보와연관시킬때, 인터넷네임체계로서의의미를지닐수있다. 리소스레코드 (RR - Resource Record) 는도메인네임 (domain name) 과인터넷자원 (resource) 정보를맵핑하여하나의분산구조형데이터베이스를구성하기위한수단이다. 리소스레코드 (RR) 는도메인네임이갖는속성을표현한다. 하나의도메인네임은호스트네트워크주소리소스레코드 (Host Address RR) 인 A 타입 RR에의해도메인네임이지칭하는 IP 주소를지정할수있다. 하나의도메인네임은다수의리소스레코드 (RR) 를그속성정보로가질수있다. 예를들면, 및 의 2 개의 IP 주소를그속성정보로가지면서동시에 "example web site" 라는텍스트문자열을텍스트리소스레코드 (TXT type RR) 를사용하여그속성정보로지닐수있다. 이와같이하나의도메인네임은인터넷네트워크주소를포함하는다양한인터넷자원 (resource) 으로서의속성정보를

20 ( 그림 2-3) 도메인네임스페이스와리소스레코드 설정하여인터넷통신에서유용하게사용될수있다. 리소스레코드는도메인네임에대해관련속성정보를맵핑할수있도록구조화되어있다. 일반적인구조는 ( 그림 2-3) 과같이 <Name><TTL> <Class><Type><RDATA> 로구성되어있다. 이중에서 <RDATA> 는리소스레코드 (RR) 데이터를표시하는부분으로써각유형별타입마다그표시하는정보에적합하도록다르게정의된다.

21 A [ 표 2-1] DNS 레코드종류 레코드종류내용호스트이름에대한 IP주소 단일호스트이름에해당하는 IP 주소는여러개있을수있으며, 각각의동일한 IP 주소에해당되는여러개의호스트이름이있을 수있음. PTR Pointer 특수이름이도메인의일부다른위치를가리킬수있음각인터넷주소의 PTR레코드는한개만있어야함 NS Name Server 도메인에는해당이름서비스레코드가적어도한개이상존재하여야하며, DNS 서버를가리킴 MX Mail Exchanger 도메인이름으로보낸메일을받도록구성되는호스트목록을지정 CNAME Canonical Name 호스트의다른이름을정의하는데사용 SOA Start of Authority 도메인에대한권한을갖고있는서버를표시 HINFO Hardware Info 해당호스트의하드웨어사양을표시 ANY(ALL) 위의모든레코드를표시 3. 네임서버 네임서버 (Name Server) 는도메인트리 (domain tree) 의일부분에해당하는정보를지니고전체인터넷도메인트리 (domain tree) 의한부분을구성하는서버이다. 네임서버는도메인네임공간의한영역을구성하는정보의집합인도메인존 (domain zone) 의정보를소유하고호스트로부터의질의에대해응답하는역할을수행한다. 흔히 DNS라고도하며특히특정질의에대해자신이소유한도메인존 (domain zone) 의정보만그응답으로제공하는동작을하는 DNS라는의미로써 iterative DNS라고불리기도한다. 또한도메인네임공간상의특정영역 (zone) 에대해관리권한이위임된서버이므로권한위임 (authoritative) DNS, 권한위임 (authoritative) 네임서버라고한다. 또한리졸버는동일한 DNS 질의를짧은시간내에빈번하게반복하는것을방지하기위해캐시 (cache) 를내부에구현하여 DNS 질의결과데이터를일정기간동안이캐시 (cache) 에저장하여관리한다. 각리소스레코드 (resource record) 는레코드자체에지정된 TTL(Time To Live) 시간동안만리졸버 (resolver) 의캐시에존재한후삭제된다.

22 그러나이러한리졸버의전체기능을모든호스트에구현해야하는것은아니다. 현재대부분의호스트에는전체리졸버기능이아닌스터브리졸버 (Stub Resolver) 형태로구현하고있다. 스터브리졸버 (Stub Resolver) 는호스트내의응용프로그램에프로그래밍인터페이스를제공하고응용프로그램의네임질의요청이있는경우, 시스템에지정된리졸버 (Resolver) 역할의네임서버 (name server) 로 DNS 질의를요청한다. 리졸버 (Resolver) 는스터브리졸버 (stub resolver) 를대신하여전체도메인네임시스템에대하여요청된레코드가존재하는네임서버를파악하고해당리소스레코드정보를획득한후최종응답결과를스터브리졸버 (stub resolver) 에게전달한다. 여기에서스터브리졸버 (stub resolver) 는전체도메인네임시스템 (DNS) 에대해원하는리소스레코드의위치를파악할수있는알고리즘을구현하지않는다. 대신항상 DNS 요청을처리할수있는리졸버 DNS(resolver DNS server) 의 IP 주소를지정하는것으로충분하다. 흔히 PC에설정하는 ISP 사업자가제공하는 DNS 서버또는네임서버 (name server) 는이리졸버 (resolver) 기능이설정된서버를지칭한다. 제 4 절 Zone 파일 Zone파일은 DNS의계층적도메인네임구조에서단일도메인을나타낸다. 즉, Zone파일은도메인네임과 IP주소, 다른소스들을포함하고있는데, RR의텍스트표현으로보면된다. 이는보통권한위임 DNS 서버의마스터파일을구성하며, 캐시 DNS에서목록화하여사용되기도한다. 루트 DNS나 tlddns는도메인네임을갖고있는권한위임 DNS에대한정보만을 Zone 파일로갖고있게된다. 앞에언급한 RR 세트는 Zone 파일의요소들이다. Zone 파일은도메인네임을갖고있는권한위임 DNS의설정에의하여사용가능하게되는데,

23 만약에 DNS 관리자가 Zone 파일을잘못설정하던지, 관리부주의에의하 여엉뚱한 RR 로구성한다면, 해당인터넷서비스가불가능하게될것이 기에, 신중하게설정, 변경관리가요구된다. 제 5 절 DNS 소프트웨어들 DNS 서비스는앞에서언급한바와같이, 인터넷 IP주소를제공하는매우중요한핵심인프라이다. 지금까지많은 DNS 소프트웨어들이개발되었으며, 캐리어사업자용, 기업용, 일반이용자용등의다양한용도로목적에맞게발전되어왔다. 그러나최근에는 BIND와 MS DNS가주종을이루고있다. [ 표 2-2] 는시중에나와있는대표적인 DNS 소프트웨어와각기능들에대한지원여부를간략하게나타내고있다. 특히, BIND는 DeFacto 표준화되어있고 DNS 문제점발견시업데이트도신속하여많은 DNS 장비제조업체들이기본 DNS 서비스엔진으로채택하고있다. [ 표 2-2] DNS 소프트웨어종류

24 제 6 절 DNS 서비스특징 1. 투명화 DNS는인터넷서비스를위하여누구든지접속하도록설계되어있고, 표준화된질의와응답절차를갖고있는단순한프로토콜을사용하고있다. 아울러, DNS 프로토콜은요청및응답이라는단순한절차로되어있어상태관리가필요없는구조로설계되어있다. 또한단순 Directory기반의서비스제공으로도메인네임레코드및데이터의적합성을확인하기가어려운상태로관리되고있다. 이러한투명성이반대로사이버공격에취약성을갖고있는대표적인사례로문제시되고있으며, DNS보안접속이어려운상황에서다양한 DDoS 공격의타깃이되기도하며, DNS 의웹사이트주소제공을통한호스트의공격도가능하게되어있다. 2. 분산화 DNS는네임관리를위한데이터베이스를분산화하고있다. 즉, 도메인네임에대하여한시스템에집중화하여관리하지않고분산하여관리를하도록권고하고있다. 그래서하나의도메인네임에대하여 2개이상의도메인네임등록을할수도있으며, 각도메인노드들도여러서버에분산하여관리가가능하다. 이렇게함으로써, DNS의장애및 DNS에대한공격등에대하여하나의서버가서비스불능이되어도다른네임서버를이용하여서비스가가능하도록할수있다. 아울러, 캐시 DNS는권한위임 DNS의 RR정보를일정시간동안저장하여질의요청시에권한위임서버를대신하여응답을제공할수있는구조로되어있다. 이러한분산화구조에의하여하나의서버가사이버공격에오염되던지사이트정보들이잘못입력되는경우해당서비스들이불가하게되는문제점을갖고있다. 이러한공격의대표적인것이캐시포이즈닝또는 DNS

25 Reflection 이다. 3. 체계화 전세계 DNS 서비스제공체계는 IANA에서 Root DNS로부터지역도메인관리서버까지계층적으로관리되고제공된다. 이러한체계적인제공체계는도메인네임의생성, 변경, 소멸등을각도메인별로자유롭게관리하도록하는기본체계를제공한다. 이러한수직적제공체계에의하여전세계도메인들은 gtld, cctld의관리범위내에각도메인들이등록되고각서브 DNS들은자유롭게관리되는형태를구성하게된다. 체계적인 DNS 서비스제공체계는상위계위에대한장애시장애확산범위가매우넓게분포되기에보다보안에신경을써야하는문제점을갖고있다. 아울러, 악의의공격자가이러한문제점을이용하여질의에대한다른응답을제공하도록정보를불법으로변경할수있는가능성을갖고있다. 제 7 절 DNS 서비스취약성 위에언급한 DNS서비스의특징에의해 DNS 서비스제공상에많은취약성들이존재한다. 이러한 DNS시스템의관리미흡은인터넷서비스접속이불가능하게할수있기에신중하게관리되어야만한다. 일반적인 DNS 서비스취약점들은아래와같다. ㅇ Human Error DNS 서버는보통매우일상적인작업으로진행된다. 그러나이러한일상적인작업들은 DNS records, 파일등에대한작업을하게되어있지만 (manual or automated), 부분적으로 DNS 정보의입력오류등이발생

26 하면, DNS 특성상빠르게확산되어인터넷서비스에장애를초래할가능 성이매우높다. ㅇ DNS 캐시포이즈닝공격자 (miscreants) 는 key DNS records를변경하기위하여도메인등록서버에저장된 DNS administrative records에대한접속을시도한다. 이를통하여 DNS 네임서버의주소, 관리자권한정보등을알아낸다. 이를통하여 DNS에등록된레코드를변경하여자신의사이트 (rouge servers) 로접속되도록함으로써범죄에악용할수있는기회를갖게된다. ㅇ DNS 증폭 (Amplification) 공격 DNS는다량의 DDoS 공격을위한수단으로사용되기도하는데, 감염된이용자가보낸 DNS 메시지에대하여 DNS가그트래픽을희생양인목적지로증폭하여반사하는공격의유형이다. 이러한방법은적은크기의 DNS 질의를이용하여큰크기의응답을희생양인목적지로보내어공격하는유형이다. ㅇ다른 DNS 공격유형 - DNS cache-miss attacks - Multi-vendor DDoS Attacks - DNSTXT records - C&C 또는다른공격과연계한 DNS기반 DDoS 또는 DNS lookup 위와같은특징을갖고있는 DNS는인터넷접속을위한매우중요한핵심기반시설이기에보안성강화는필수이다. DNS 프로토콜은인터넷발전초창기에보안이고려되지않아스푸핑등의해킹에취약하여도메인정보위 변조시에사용자가의도하지않은사이트로접속될우려가있음

27 IP 관리체계의내부보안중요성은확대되나, 도메인에대한기술적 / 보안적관리는매우허술 (DNS 장애시파급효과치명적 ) DNS 보안사고급증에대한예방환경확보필요 외부접속자의악의적도메인접근시도에대한모니터링체계정비필요 [ 표 2-3] DNS 보안이슈및해결방안 DNS 보안이슈 Zone 정보노출 (Zone Exposure) 포이즈닝 (Poisoning) 서비스거부 (Denial of Service) 비인가전송및업데이트 (Unauthorized Transfer or Update) 업데이트인가및인증체계구현 해결방안 전송 (Tansfer) 제한 뷰 (View) 생성 재귀적질의제한 ACL 기반 Query 제한 IPS 사용 동시사용규모의내부적제한 Rate-Limit TSIG(Trusted Signature) TSIG DNSSEC

28 제 3 장 DNS 서비스제공 제 1 절도메인네임분포현황 도메인네임은인터넷서비스를위한문자화된체계적인이름체계를갖고있으며, 마치음성통화를위하여사용되는전화번호와같이전세계적으로유일하여야만한다. 그러나전화번호데이터베이스와달리, DNS서비스의빠른응답및안정성을위하여전세계적으로분산하여데이터베이스가구축될수있으며, 많은복사본들을이용하여서비스장애에대한신속한대응체계를구축하고있다. 또한인터넷서비스가기존유선망에서 3G, 4G 등의상용화에따라모바일인터넷의중요성이더욱커지고있으며, 이에따른모바일도메인서비스가급증하고있다. [ 표 3-1] 은전세계도메인네임의분포를간략하게보여주고있다. [ 표 3-1] 전세계도메인등록현황 도메인구분.com domain names.net domain names.org domains names.info domain names Registered domain names cctld domain names(kr,jp,..) 등록수 95.5 million 13.8 million 9.3 million 7.6 million 220 million 86.9 million Top-level domains 324

29 표에서보는바와같이전세계적으로수억개의도메인이존재하며, 도메인별로전세계적으로분포되어사용된다. 우리나라의 DNS 서비스 kr 등록도메인은 [ 표 3-2] 에서보는바와같이 100만개가넘게등록되어서비스되고있으며, 계속증가추세에있다. 또한네임서버도 6만개정도운영되고있고있으며, 각도메인에대한질의형태는 A type과 PTR이거의 90% 정도에이르고있다. [ 표 3-2] Kr 도메인현황 ( ) Month 9월 10월 차이 Total 1,092,870 1,101,629 8,759 New 21,880 24,215 2,335 Suspended 26,174 23,161-3,013 Deleted 20,771 18,469-2,302 [ 표 3-3] 네임서버호스트의숫자 ( ) Number Ratio Total Name Servers 56, % KR Name Servers 37, % Other Name Servers 19, % [ 표 3-4] DNS 쿼리분포 Type of Query Ratio A 44% NS 0% CNAME 0% SOA 0% PTR 42% MX 4% AAAA 8% A6 0% ANY 0% Others 2%

30 제 2 절 DNS 서비스제공장비들 DNS는계층적인네임스페이스를이용하여클라이언트의 DNS 질의요구에따른디렉터리서비스를제공하는서버로써, 단순인터넷서비스에서 P2P, SNS, 모바일, 클라우드인터넷서비스로발전하면서 DNS 전용장비의중요성및수요가높아져가고있다. DNS 서버를위한소프트웨어도 [ 표 2-2] 에서본바와같이다양한종류들이존재하나, 요즈음대부분은오픈된소프트웨어인 BIND를응용하여 DNS 서버를구축하고있다. 그리고예전에는 DNS에대한관리인식이부족하여기존서버에중복하여 DNS 소프트웨어를포팅하였으나, DNS의 DDoS 공격강화, DNS를이용한피싱, 파밍등에대한문제점및네트워크의구성복잡성으로인하여이제는전용서버구축및이중화구성등을통하여안정적인 DNS 서비스를제공하려고하고있는추세이다. 일반적으로 DNS 장비들은아래와같이 DNS 운영에필요한다양한기능들을제공하고있으며, 기본적인 DNS의구성모듈들을요약하면 ( 그림 3-1) 과같다.. ( 그림 3-1) DNS 소프트웨어패키지구성요소

31 - 네임서버타입지원 (1차, 2차, 캐시 DNS 기능 ) - DNS 캐시포이즈닝, DNS 피싱 (Phishing), DNS 파밍 (Pharming) 등 DNS 공격및취약점에대한대처기능 - DNS 관리자의접근보안성강화기능 - 하드웨어 HA 기능지원 - 다양한 DNS 질의타입지원 (Recursive, Iterative, Reverse) - 표준기반 DNS 기능준수 (RFC 1034/1035) - Reverse address 위임 (Delegation) 기능 - TCP, UDP 질의지원 - IPv4/IPv6 지원 - 도메인네임등록 - 웹기반관리인터페이스 - Multiple zone 관리기능및 Zone Transfer 지원 - 리소스레코드 (RR) 지원 (RFC 2052) - DDNS : 동적업데이트기능 (RFC 2136) - 자동백업및복구기능 - DNS 데이터및로그관리를위해필요한커스터마이징용도의 API 기능 - DNS 환경의간편한업그레이드및다운그레이드기능 - DNS 관리자의권한차등부여기능 - 기존데이터의간편한마이그레이션을위한 DNS 데이터임포트마법사기능 - DNS 서비스장애시관리자공지메일발송기능 - DNSSEC 기능 ( 그림 3-2) 는기본서버들을이용하는형태에서의사용예를보여주고있다. 그림에서보는바와같이 DNS 는오픈소프트웨어인 BIND를많이사용하며, OS별로이를지원하는형태로구성된다. 그리고하드웨어는일반서버를이용하여구축하는형태이다. 그러나일반소프트웨어를

32 서버에구축하는형태는보안문제, 리던던시문제, 확장성부족, 신뢰성 부족등의서비스안정성에대한문제점과설정상의오류발생및관리 상의많은시간이소요되는단점들이있어왔다. ( 그림 3-2) 일반 DNS 서버구축형태 이러한문제점들을개선함과아울러, DDoS 공격등의체계적인대처필요성, 다양한인터넷서비스로의진화및보안의중요성, 성능상개선필요성등에의하여 DNS 전용장비들이많이사용되고있는상황이다. DNS 전용장비들은 DNS가제공하여야하는중요기능들을모두포함하고있으며, 보다개선된보안메커니즘을사용하고있으며, 성능이슈들을자체적으로해결하여서버장애시에자체적인고속리던던시기능을제공하고있다. 아울러, GUI기반의인터페이스를제공하여도메인네임등록및변경편의성을강조하고있으며, 전체서버를분산하여관리할수있는기능을제공한다. 일반적으로 DNS 전용장비들은기본 DNS기능에 DDI(DNS, DHCP, IPAM) 라는 IP관리를위한추가솔루션을제공한다. 이용업체들도네트워크안전성및관리편의성을위하여 2개이상의솔루션들을통합적으로이용하는추세이다. 특히, 기업네트워크의규모및복잡성증가, 자체보안강화필요성으로인하여방화벽내부또는외부에 DNS를구축하여운영하는사례들도많다. 2012년가트너 (Gartner) 마켓분석에따르면, 2011년도에는 DDI 시장규

33 모가 290백만불규모로성장하였는데, 이는 2010년도보다 36% 증가한것이라고보고하고있다. 아울러, 2012년도에는 29% 정도증가하여 380 백만불정도로커질것으로예측하고있으며, 많은기업들이운영효율성및전체적인네트워크관리안정성을위하여 DDI 솔루션을이용할것으로기대된다고발표하였다. 아울러, 가트너는제품 / 서비스에대한확장성, 고객경험, 제품전략등다양한평가기준을통하여 [ 표 3-5] 와같이 2012년도 DDI 장비들에대한마켓스코프 (marketscope) 를요약하여발표하였다. 알카텔-루슨트 (Alcatel-Lucent) VitalQIP는 SMB시장에서보다는주로 ISP 사업자로부터좋은반응을얻어 ISP시장의 30~35% 를차지하고있다고분석하고있는데, Overlay 솔루션으로운용이가능하며, 대규모트랜잭션처리및다양한소프트웨어에포팅이가능한구조로되어있어 ISP 시장에맞게향상된기능들을포함하고있다. 그러나중소규모의 SMB시장에맞는 LAN 포트관리기능들을갖고있지않고, 추후버전업그레이드가약하다고평가하고있다. 블루캣네트웍스 (BlueCat Networks) 는 Adonis 계열장비및전용관리장비로 Proteus를제공하고있다. 특히, IBM과의파트너십을통하여 IBM의클라우드서비스에관리시스템으로적용할계획이며, IPv6서비스제공에도적용하고있다. 주로 IP관리및 DNS의구축이요구되는기업을중심으로매우빠른성장세를기록하고있는중이다. BT 다이아몬드 (BT Diamond) 는 BT계열에서나온시스템으로대규모가입자를수용할수있는구조로 15% 정도의 ISP 시장을차지하고있다. 이솔루션도 VitalQIP와마찬가지로 SMB에는별로매력적이지않은솔루션이다. 아울러, 마케팅의노력이약해시장확장에어려움을많이격고있었으나, 2012년시스코가 BT 다이아몬드의기술을시스코자사네트워킹솔루션에도입하여기업형 DDI 시장을진출하고자노력하고있다. 1999년도에설립된인포블락스 (Infoblox) 는기업형 DDI 시장에매우일찍진출한업체로강력한글로벌마케팅채널을보유하고있으며, 전체마켓의 40% 정도를점유하는것으로알려져있다. 인포블락스는그리드

34 (Grid) 라는여러장비를클러스터로묶어관리하는기술을제공하며 DNSSEC, IPv6 등에대해서도선도적인솔루션을제공하고있는것으로 알려져있다. [ 표 3-5] DDI 마케팅스코프분석 strong Negative Caution Promising Positive Strong Positive Alcatel-Lucent ㅇ BlueCat Networks BT Diamond ㅇ ㅇ EfficientIP ㅇ InfoBlox ㅇ Men&Mice ㅇ Nixu Software ㅇ

35 제 4 장 DDoS 공격및현황분석 인터넷서비스는인터넷망과인터넷에연결되어있는호스트들간의서비스취약점을이용하여시스템들의서비스장애를유발시키는방법들이 DoS(Denial of Service) 이다. 일반적으로인터넷은개방적프로토콜이면서회선교환이나 X.25, Frame Relay, ATM 등과같은패킷교환서비스와같이체계적으로보안을염두에두고발전된체계가아니기에많은취약점들이존재하며, 이러한시스템들의취약점을이용한공격이 DoS 공격을가능하게만드는요인들이된다. DoS는인터넷서비스의취약한라우터, 웹, 전자우편, DNS 서버등모든네트워크장비를대상으로이루어질수있다. DoS 공격은시스템의서비스거부를위하여특정시스템에대한대규모공격으로인하여아래의같은시스템장애를유발시킨다. ㅇ전산자원을소진ㅇ구성정보를교란ㅇ상태정보를교란ㅇ물리적전산망요소를교란. ㅇ원래사용자와희생물사이의통신매체를차단. 아울러, 악성코드에의해감염된호스트들은아래와같은상황이나타날수있다. ㅇ프로세서를바쁘게하여아무일도못하게함ㅇ마이크로코드에오류를발생시킴. ㅇ순차적명령어실행에오류를발생시켜서컴퓨터가불안정한상태에빠지게하거나멈추게함ㅇ운영체제자체를파괴그러나이러한 DoS 공격은하나의감염호스트에서대량으로발생되

36 기에이에대한대비책들이많이나와있고, 중요한서비스를제공하는시스템들은이러한 DoS 공격을차단하기위한다양한차단및방어시스템들을구축하여서비스거부가발생되지않도록하고있다. 분산서비스거부공격 (Distributed DoS, DDoS, 디도스 ) 은 DoS 공격의효과가극대화되도록다수의단말들을이용해공격을시도하는방법이다. 악성코드나바이러스등의악의적인프로그램들을통해서일반사용자의 PC를감염시켜좀비PC로만든다음 C&C 서버를통해 DDoS 공격이수행된다. ( 가장유명한예는 MyDoom 공격이다.) DDoS공격의구성요소는공격자 (Attacker), 마스터 (master), 중간자 (Agent) 의 3가지로구성된다. 공격자는공격대상이되는시스템의주소를마스터에전달하고공격명령을내리게된다. 마스터는공격명령에따라공격대상시스템의주소와자신이관리하고있는중간자에게공격명령을전달하고, 중간자들은마스터의공격명령에의하여정해진패턴에의거하여공격대상을동시에공격하게된다. 이에의하여동시에공격받은시스템은결국서비스불가능상태에빠지게된다. ( 그림 4-1) DDoS 공격방법

37 분산반사서비스거부공격 (Distributed Reflect DoS, DRDoS) 은 DDoS 가한단계더진화한형태의공격방식이다. IP 주소를스푸핑한 ICMP Echo request 패킷을브로드캐스트주소로보내공격대상에게수많은 Echo reply 패킷을전송함으로써다운시키거나 (Smurf 공격 ), TCP/IP 네트워크의취약점을이용하여공격대상에게 SYN/ACK 홍수를일으켜대상을다운시키는공격방법이대표적이다. 공격자는공격을위한악성코드를개발하여악성코드를유포하기위한봇넷을구성하여좀비 PC들을대량으로확산시킨다. 이후어느일정시점이되면, 좀비 PC들에게일제히공격대상을공격하도록제어함으로써공격대상시스템을마비시키게된다. 최근에이러한과정은탐지및방어시스템의기술발전에의하여보다치밀하게장시간에걸쳐서준비하고일시적으로공격하는양상을띠고있다. ( 그림 4-2) DDoS 전파단계 이러한 DDoS 공격은다양한경로를통하여다수의호스트들에좀비들 을배포하게된다. 아래는현재까지나타난좀비들을유포시키는경로들 을보여주고있다.

38 ( 그림 4-3) DDoS 유포경로 제 1 절 DDoS 공격유형 DDoS 공격은그공격형태에따라아래표와같이분류가가능하다. 이러한공격은대역폭 / 세션을고갈시키는유형과서버자원을고갈시키는공격유형으로구분이가능하다. 대역폭 / 세션을고갈시키는것은 L2~L4 레이어의취약점을이용한공격으로네트워크자원을고갈시킴으로써서비스가불가하도록만드는방법이며, 서버자원고갈은 L7 레이어의응용계층서비스에대한공격으로응용은서버로정상적으로유입되어서버가세션을처리하는데과부하를유발시켜서비스장애가발생되도록하는방법이다.

39 [ 표 4-1] DDoS 공격유형 공격분류특징공격유형 Flooding 공격 Connection 공격 Application 공격 Non-Spoofing 공격 Spoofing 공격 HTTP 공격과다 TCP Connection 공격 Application 특성이용 - SYN/ACK Flooding - UDP Flooding - ICMP Flooding - RST Flooding - TCP/UDP/ICMP 혼합형공격 - SYN/ACK Flooding - FIN Flooding - SRT Flooding - TCP/IP Null 공격 HTTP Daemon 개수이상을초과시킴 Application 의 inpu queue 마비 FTP 공격, Time 공격, VoiP 공격, DNS 공격, DHCP 공격, SQL 공격, Netbios 공격,RPC 공격, Cache Control 공격 제 2 절 DDoS 공격현황 DDoS 공격은악의적인프로그램에서정한특정시간대에시작된다. 과거의 DDoS공격은자신의해킹기술을과시하거나쇼핑몰, 웹사이트등을대상으로금전적인대가를요구하는경우가많았으나, 요즈음정치적인목적을달성하기위한핵티비즘, 경쟁사웹사이트를장시간사용못하게하는영업방해등으로그목적이다양해졌다. 공격기법도과거에는커맨드라인형태로공격을위해서수작업으로공격대상시스템의 IP주소를입력하는방법이었으나, 최근에는윈도우시스템에서간편하게실행이가능한 GUI 형태로변했으며, 단순한단일형태의공격유형에서 3개이상의다른공격유형들이동시에복합적으로수행되는형태로지능화되고있다. 아래는 DDoS공격에대한공격변화를간략하게보여준다. 대표적피해사례로 2009년 7월 7일에있었던 DDoS 공격이있다. 7.7

40 DDoS공격은 7.4일미국주요사이트를대상으로공격이되었으며, 국내최초공격은 7.7일민간및공공서비스대상으로시작되어정부, 공공기관, 민간기업등을주요대상으로하여공격이계속되어 7.7 DDoS 공격이라불린다. 7.7 DDoS공격의특징은대규모좀비를이용하여초당 20~50 개정도로공격하는소규모공격, C&C 서버가없는최초의 DDoS, 동시에 4~5개의공격이동시에발송, HTTP Get Flooding과 CC Attack을혼합한정교한 TCP/HTTP 공격이었다는것이다. ( 그림 4-4) DDoS 공격주요변화 또하나의대표적인 3.4 분산서비스거부공격 (3.4 DDoS 공격 ) 은 2011년 3월 4일, 대한민국주요정부기관, 포털사이트, 은행사이트등이분산서비스거부 (DDoS) 공격을받아서비스가일시적으로마비된사건이다. 방송통신위원회 ( 이하방통위 ) 에따르면악성코드는 P2P 파일공유사이트인셰어박스와슈퍼다운에올라온일부파일에삽입돼유포됐다. 방통위는해커가 3일오전, 두사이트를해킹한뒤악성코드를심어놓은것으로보고있다. 3.4 DDoS 공격에동원된좀비PC 수는총 116,299대로최종집계됐다. 이는 7.7 DDoS 공격시의 115,044대와비슷

41 한수치다. 3.4 DDoS 공격에사용된악성코드는난독화를거치는등 7.7 DDoS 공격시사용된악성코드보다훨씬진화한것으로드러났다. 아울러, 7.7 DDoS 악성코드는공격시간이정해져있었지만이번악성코드에는시간이설정돼있지않아한번감염되면치료되기전까지계속악성트래픽공격을감행하도록돼있었다. 또한, 하드디스크파괴증상은 7.7. DDoS 당시에는명령서버로부터명령을받고일정기간이지난후실행됐으나이번에는명령을받는즉시하드디스크를파괴하도록설정돼있었다. ( 그림 4-5) 7.7. DDoS 공격분석

42 ( 그림 4-6) 3.4. DDoS 공격분석 ( 그림 4-7) 최근악성코드유형분석

43 DDoS 공격은다양한형태가존재하며, 이러한공격은시간이갈수록더증가하는것으로알려져있다. 아래표는 월에나타난알약에서의자체수집및신고된사용자의감염통계를통하여산출된순위를보여주고있다. 아래통계결과를보면 15개중에서 2월에신규로발생된새로운악성코드들이총 9종으로매달새로운신종악성코드들이발생함으로의미하며, 종류들도다양한것으로분석되고있다. [ 표 4-2] 최근악성코드감염통계 악성코드유형별비율을보면전통적으로스파이웨어, 애드웨어, 트로이목마유형이 6~70% 정도차지하며, 기타, 다른유형도 30% 를차지하는것으로나타나고있다. 이러한다양한형태의공격은가면갈수록지능화형태를띠면서사전탐지가어려울가능성이높아지고있다. DDoS 공격완화장비업체인프로레식 (Prolexic) 사의보고에따르면,

44 2012 1분기에네트워크 / 세션계층의공격은 73% 정도이고응용계층공격은 27% 정도로나타났다고보고하고있다. 네트워크공격은 SYN floods (32%), ICMP floods (26%), and UDP floods (20%) 순으로나타났으며, 응용계층공격은 GET Floods (77%) and POST Floods (8%) 순으로 GET Floods 공격이매우높음을알수있다. 2011년 4분기에는 140억개의패킷에 19.1TB의데이터가악의적인트래픽이었지만, 2012년 1분기에는 1.1조개의패킷에 65TB 패킷으로매우증가하였다고보고하고있으며, 공격시간은점점더짧아지고있다고보고하고있다. 아울러, 공격유형은패턴에따라다르게나타나지만, 위에서언급한공격유형들이아직은주류를이루고있음을알수있다. 특히, DNS 공격이 2011년 1분기에 0.77% 에서 2012년 1분기에는 2.5% 로 DNS 공격비중이매우높아지고있음을보여주고있다. 글로벌보안업체인시만텍 (Symantec) 에따르면 2011년한해악성공격은 55억건으로전년대비 81% 나증가했다. 시만텍은 2012년 5월 ' 인터넷보안위협보고서 ' 제17호를발표하면서, 아래의 5대주요특징을설명하고있다. ( 그림 4-8) 2012 년 1 분기 DDoS 공격분포

45 악성공격 81% 증가, 스팸은 34% 감소 년한해악성공격은 55억건으로전년대비 81% 나급증했으며, 악성코드변종도 4억 3백만개로 41% 증가. 매일차단된웹공격건수도 36% 증가한 4천595건에달함 - 매공격마다자동으로새로운형태의돌연변이악성코드를생성해공격하는 ' 다형성 (Polymorphism)' 공격이급증 - 지난해러스톡 (Rustok) 과같은악명높은봇넷들이잇따라폐쇄되면서스팸양이감소한것으로분석 표적공격이용한사이버스파이활동증가 - 사이버공격의새로운유형으로주목받고있는 ' 표적공격 ' 은 2010 년일평균 77건에서 2011년 82건으로증가 - 경제강국들이갖고있는원천기술과첨단기술을빼내기위한디지털산업스파이활동이활발해지면서표적공격은경제전분야에영향을미치고있음 - 표적공격은제로데이취약점등각공격마다평균 2종의보안취약점을이용한것으로나타났음. 모바일취약점 93% 증가 스마트폰공격급증 년모바일보안취약점은 315건으로전년대비 93% 증가 년은모바일악성코드가기업및개인사용자에실제적인위협으로대두된원년으로분석 연간 2억3천200만건의개인정보유출 년은그어느해보다도데이터유출사고가빈발한해임 - 연간총 2억3천200만건이상의개인정보가유출되고, 사고당평균약 110만건의개인정보유출 - 산업별로는컴퓨터소프트웨어, IT 및헬스케어분야가전체데이터유출사고의 93% 를차지 - 총 1억8천700만건이상의개인정보가해킹으로유출 사이버범죄의새로운온상, 소셜네트워크

46 ( 그림 4-9) DDoS 공격유형변화비교 (2011 년 1Q 대비 2012 년 1Q) - 전통적인스팸메일대신사이버범죄자들은새로운공격대상으로사용자가빠르게늘고있는소셜네트워크로눈을돌리고있는것으로나타남 보안취약점은전반적으로감소 - 새롭게발견된보안취약점은 2010년 6천253개에서 2011년 4천989 개로, 전반적으로감소한것으로나타남 - 구글크롬의취약점이크게감소하면서주요웹브라우저의취약점수도 2010년 500개에서 2011년 351개로크게감소 - 브라우저플러그인에영향을미치는취약점역시 2010년 346개에서 2011년 308개로다소감소 - 패치가배포되기전에취약점을이용하는제로데이공격은그위험성이더큰데 2011년탐지된제로데이취약점수는 8개로, 지난 6년중최저를기록

47 그러나 DDoS공격은점점더지능화되면서최근에는 APT( Advanced Persistent Threat) 공격처럼정확한표적만을대상으로활발하고지속적으로공격하는것이특징이며, 여러가지공격기술을사용하여 Kill Chain 을형성하여오랜기간잠복하여지속적으로정보를수집하는 (Low and Slow) 것이특징으로대두되고있다. 이러한 APT 공격은오랜기간동안 DDoS 탐지장치에의하여감지되지않는특징들을갖고있으나, 그피해는매우큰특징을갖고있다. 표는최근의 APT공격에대한사례를보여주고있다. [ 표 4-3] 최근 APT 공격현황 APT 목록 공격목표 발견된날짜 ( 지속시간 ) 주요피해 DUqu 8 개나라의 6 개조직 ( 기관 ) 2011 년 10 월 (11 개월 ) 디지털서명과인증파일및시스템정보 Stuxnet 이란의 5 개시설 ( 기관 ) 2011 년 7 월 (1 년 ) 우라늄발전소시설생산차질 Operation Shady RAT 71 개조직 ( 기관 ): 방산업체, 관련비즈니스및기술업체, UN, IOC 2011 년 7 월 (5 년 ) 데이터베이스, 이메일, 중요기밀 RSA Breach EMC/RSA, 록히드마틴 2010 년 4 월 (2 개월 ) SecurID Operation Aurora 30 이상의조직, 기관, 회사 : 구글, Rackspace, 어도비, 주니퍼 2010 년 1 월 (6 개월 ) 소스코드, IP, Gmail 계정

48 제 3 절 DNS DDoS 공격 1. DNS 대상공격 DNS 는모든클라이언트가인터넷 IP 주소를알기위하여자주사용하 는시스템이기에다른서버들과마찬가지로 DDoS 공격의대상이된다. 단순 DoS형공격 DNS는 DNS 질의가매우많은서버로써전세계어디서나루트서버, 캐시서버, 권한위임서버들에접속이가능하다. 그럼으로 DoS공격과같이순간적으로많은질의요청이들어오게되면 DNS 서버의성능에영향을미치게된다. 특히, DNS 서버를운영하는영세한업체들은 DNS DDoS의주요공격타깃이될수있으며, 과도한질의트래픽에의하여링크자원소모및서버의서비스거부현상이발생하게된다. 이러한공격의특징은공격자가자신의호스트를이용하여직접공격하는특징을갖고있다. 또한 spam filter 또는 Black-lists를이용하여차단을하더라도공격자는더많은패킷량으로공격을하여 DNS 서버의처리능력을상회하고나, 자원낭비를초래할수도있다. 아울러, 스푸핑된 IP주소를이용한공격도가능하다. Recursive Attack DNS에대한 Reflection DDoS 공격의특별한유형을 Recursive 공격이라한다. 이러한공격은권한우임서버에관리되지않는질의를이용하여공격하는형태이다. 일반적으로 DNS 캐시서버는캐시를갖고있기에, 동일한정보를가진질의에대해서는자체적으로응답을하지만, 매번다른사이트에대한질의요청을하게되면이에대하여 DNS는자체데이터베이스를근거하여응답을주어야하기에성능저하를초래하게될것이다. 특히, 공격자가 DNS 서버주소를알고스푸핑하게되면, 질

49 의가공격대상 DNS로몰리게될것이다. 이러한공격의특징은특정도메인에대하여대규모로다른형태의 Quer 패킷을보낸다는것이다. DNS 서버는대규모패킷에대한내용및요구를감지하지못함으로인하여서비스거부를하게된다. 아울러, DDoS의형태로공격하게되면수많은 DNS 서버로부터특정 DNS로엄청난양의질의가유입되게될것이다. DNS 캐시포이즈닝 DNS 캐시포이즈닝공격은권한위임 DNS 서버의정보에대한가짜응답을응답함으로써 RS DNS가이가짜정보를캐시메모리에저장하고있다가, 클라이언트로부터의 DNS 질의가요청될때, 이정보로응답하도록하는방법의공격이다. 이에따라서, 일정기간 RS DNS 내부캐시에가짜 DNS정보를갖고있다가그이후의클라이언트질의에잘못된정보를제공하게된다. 이러한포이즈닝은 DNS들간의통신에서인증된절차를사용하지않음으로써공격자는이문제점을이용하여질의등의결과가다른사이트에대한정보를제공함으로써발생되는것이다. 이러한공격의특징은권한위임 DNS에대한 RR정보를변경하여야하므로, 권한위임 DNS 서버인것처럼하기위하여 DNS 질의에대하여자신이응답하는권한위임 DNS인것처럼하여야하기에수많은질의응답을보내게되고, 그중에캐시를감염시킬수있는확률에의하여캐시포이즈닝이발생된다는것이다. 즉, 캐시 DNS 서버로질의를날리고가짜권한위임서버가캐시서버의응답에답하도록하는과정에서 DDoS공격의형태를띠게된다. DNS의일반적인과정에서의 RS DNS는파란번호처럼자신의 DNS내에해당 DNS정보가없는경우에 Root로부터원하는 DNS 정보를얻어오는과정을진행한다. 그러나 RS DNS가정보를물어볼때, 공격자가해당질의에대하여 Root DNS보다먼저응답을하게되면, 마치 Root DNS의응답을얻은것처럼 RS DNS는캐시에저장하게되어, 클라이언트로부터의질의에대한응답을보내주어캐시포이즈닝이발생하게된

50 다. 잘못된정보응답은아래의조건이될때가능한방법이다. ( 그림 4-10) DNS 캐시포이즈닝과정 authoritative NS의응답전에 RS DNS에응답하여야함 재귀 NS의원래질의로부터의 Question Section 을포함 응답하는 ID는질의의 ID에일치 가짜응답의소스주소는질의한목적지주소와일치 가짜응답의목적지포트 / 주소는 RS DNS 질의의소스주소 / 포트와일치 버퍼오버플로우이러한공격은 DNS의버퍼관리메커니즘의약점을이용하여버스트하게유입되는질의를처리하기위한버퍼를고갈시켜서서비스거부가발생하도록하는방법이다. 공격자에의하여보내진질의는패킷크기등을조작하여버퍼오버플로우가발생하도록할수도있다. 또한권한

51 위임 DNS 서버를이용하여 request에대한 RR응답시조작된 RR로인한버퍼오버플로우가발생할수도있다. 이러한공격의특징은비정형화된패킷으로보낸패킷에의하여 DNS 서버에서의버퍼가오버플로우가발생하도록조작되어지는것이다. 또한패킷오버플로우는조작된데이터로버퍼오버플로우를발생시키고코드가해석되도록함으로써오버플로우가발생되어서비스거부가발생된다는특징을갖고있다. 2. DNS 를이용한공격 Reflection attack 이공격은앞에서언급한바와같이, 공격대상호스트로패킷들이전달되도록하는방법이다. 이러한방법은 DNS 질의요청시에공격대상호스트로응답하도록함으로써대량의응답트래픽이공격대상호스트로유입되므로인한서비스거부현상이나타나게된다. 특히, 응답시에몇배이상의응답패킷으로보냄으로써공격의효과를배가시키는증폭공격이있다. 예를들면, 공격자가 DNS 서버로의 resolution에대한 Quer를요청하면, DNS 서버는공격대상호스트로 5배정도크기의응답패킷을보내게된다. 응답패킷사이즈가크면 DNS는 TCP를이용하게되는데, 이러한 TCP 통신을하게되면, 재전송메커니즘이동작되어공격의효과를가중시킬수있게된다. 이러한공격의특징은 DNS 질의패킷은정상적인패킷으로보이며, DNS 서버가이메시지를공격메시지라고판단하기힘들다는것이다. 정상적인패킷으로공격이오기에서버단에서이메시지를공격으로확인하는것은매우힘들며, Netflow 등을통하여확인이가능할수있다. 더구나, 증폭공격의경우공격여부를판단하는것도매우힘들다. 증폭공격의경우질의응답에대한재전송을요구하기에 TCP를이용한경우에는좀더많은신중을요구한다.

52 DNS 터널링 DNS 터널링은 DNS 서버간의통신으로많이사용되는데, 이터널링을 통하여 DNS 의 RR 을조작하는것이가능하게된다. 3. DNS DDoS 공격사례 2011년 5월체코에서는스팸을통한특정도메인서버의사전등록된도메인만을상으로공격이발생하여서버를무력화하였다고한다. 여기에는 14000개의봇이참가를하였으며, SMTP를이용하여대규모의 White Horse를만들어특정 DNS 서버로 DNS 질의를보냄으로써서버를무력화하였는데, SMTP의속성상 SMTP서버는언제든지 White Horse가가능하다고보고하고있다. ( 그림 4-11) DNS White Horses DDoS 공격

53 구글은자체적인조사결과약 50만정도의단말이 DNSChanger에의하여감염되었는데, 이를감지하여구글검색결과페이지를통하여단말의감염여부를확인공지하여사전에 DNS DDoS 공격을차단한사례도있다. 국내 ISP업체에도 2008년 2월경강남 / 부산 / 전남등일부지역에서다량의 DNS DDoS Attack 발생하였는데, 평상시의 3~4 배에달하는트래픽유입되었으며, 질의패킷은 Qcount, Zerobit, Rcode 등이비정상적으로설정되어있고 Qname이 Null이면서패킷사이즈는큰 (Huge) 특징을갖고있어, DNS 질의패킷을가장한 DNS DDoS Attack 으로추정되었다. 또한, 숙주 PC에서는초당수천 PPS( 최대 5,200 PPS) 의비정상 DNS 질의를쏟아내는특징을보였다. 분석시스템의분석및사전조치로인하여다행히 DNS 서버로의트래픽유입량이급격하게증가되지않고 3배수준의트래픽과다로장애가발생되지않았지만, 분석시스템의정확한분석이대형장애를사전에차단하는요소임을일깨워준사건으로평가되고있다. 아버네트웍스 (Arbor) 는 2010년도전세계의서비스제공자, Content/ ASPs, 기업, Mobile 분야의각사업자들 111업체에대한보안현황조사를실시하여보안분석한결과, 2010년도처음으로 100Gbps가넘는 DDoS 공격이발생하였으며, 그중에서응용계층공격의점점더일반화되고있다고보고하고있다. 또한공격의형태도여러개의공격유형들을동시에조합하여점점더복잡하게공격을한다고보고하고있다. 그중에 ( 그림 4-12) 에서보는바와같이 DNS를공격목표로하는비중이매우높음을보여주고있어 DNS에대한보안이슈가매우커지고있음을보여주고있다 ATLAS Initiative도 Port 80을타깃으로한공격이비중이점차커지고있고, 특히 80, 53 그리고 Fragment를통한공격으로공격목표가점점집중화하고있음을보여주고있다.

54 ( 그림 4-12) 응용계층 DDoS 공격목적지분포 ( 그림 4-13) 응용계층 DDoS 공격목적지분포 (Atlas 분석 ) 특히, 뉴스타 (Neustar) 의 2011년도 DDoS 공격에대한특징을발표하면서, 2011년에는응용계층공격의증가가눈에뛸정도로커지고있으며, 여러공격유형을복잡하게포함하여공격형태를만들어가고있으며, 특히, DNS DDoS 공격이거의 10% 정도에이르고있다고발표하고있다. 아버네트웍스 (Arbor) 는 2011 Infrastructure Security Report를발표하면서 DNS 공격에의해서버가다운된경험을발표하면서전체적인공격빈도는조금씩증가하지만다행히 DNS 공격에대한방어체제를구축하는흐

55 름에따라 DNS 서버다운은 2010년 32% 에서 13% 로많이줄어들었다고보고하고있다. 권한위임 DNS 서버는특히 DDoS 공격에취약한것은권한위임 DNS 서버를보호하기위한값비싼솔루션을도입하는것이어렵다는것이다. ( 그림 4-14) DNS 공격에의한 DNS 서버장애분포 (Arbor 분석 ) DNS DoS 또는 DDoS공격은사전정보를예측하거나, 또는관리상의취약점보완을철저하게관리를하여야하지만, 실제적으로 DNS 서버의다운이발생하기전에그원인을확인하고공격을완화시키든우회시키는방법을알기가어려운단점이있으며, 설령안다고하여도이를직접적으로제어할수있는메커니즘을구축하기가어렵다는것이다. 그럼으로 DNS에등록하려는업체들은다양한 DNS에등록을분산시키는방법을통하여한 DNS가공격을당하더라도다른 DNS로접속하여정상적인서비스가되도록할필요가있으며, 보다강력한보안을제공하는 DNS 업체의등록을통하여최악의시나리오상에서도서비스가되도록함으로써인터넷서비스의장애가발생하지않도록노력할필요가있다.

56 제 5 장 DDoS 공격방어를위한서비스모델 제 1 절전통적공격방어 기존의 DDoS 공격은공격시대량의트래픽을특정대상서버에집중적으로보냄으로써서버의서비스거부나장애를유발시키는형태를취하고있다. 이러한공격은인터넷의계층별취약점을이용하여공격패턴을생성하여왔으나, 공격의특징상정해진패턴으로공격을수행하였다. 이러한공격은비정상적으로많은패킷을서버로보내기에비정상유무를탐지할수있는장비들을이용하여서버의공격을방어하는체계를구축하여왔다. DDoS 방어시스템은 IP 계층별로고대역 DDoS 공격방어가가능하도록구성할수있으며, 각계층별필터를통하여고대역 DDoS 공격대응을하도록되어있다. 일반적인공격대응시스템은수동적차원의공격방어형태로알려진비정상적패킷에대하여사전차단하는룰셋을적용하기도하고, 원하지않는 IP/Port에대하여간단한필터링정책을통하여패킷을드롭시키는정책을적용하기도한다. 또한정상적인패킷이더라도과도한패킷을유입되는경우에는임계값 (Rate Limit) 설정을통하여서버를보호하기위한정책을적용하기도한다. 일반적인 DDoS 공격대응은 ( 그림 5-1) 에서보는바와같이 L3~L7까지유입되는패킷패턴을각계층별로분석하여차단하는메커니즘을적용한다. 일반적으로비정상이라고판단가능한패킷들에대해서는각계층별보안장비에보안정책을설정하여차단을하도록하는데, 하위계층장비일수록대역폭제어를통한서버공격완화메커니즘을구동시킨다. L3/L4 시스템들을이용한공격방어방법은일반적으로정해진범위를

57 ( 그림 5-1) DDoS 공격방어를계층적방어방법 넘어가는트래픽이발생하는경우 DDoS로탐지하도록되어있으며, 일정시간동안설정치이상의트래픽이발생되면이를감지하여유입트래픽에대한임계값 (Rate Limit) 정책을동작하여대규모발생되는 Flooding 공격을차단하도록되어있다. 그러나 HTTP Get Flooding 또는 CC(Cache Control) 공격인경우에는패킷의페이로드까지분석하여유해성여부를확인하여야하는데, 특정 IP에서의공격빈도를파악하여공격자또는좀비를확인하고 Black-list를작성하여정책적용을함으로써성능을향상시키고있다. 그러나 DDoS 공격은갈수록정교해지고있으며대량의좀비들로부터소량의패킷을발생시킴으로써기존대응시스템들을무력화하는방향으로진화하고있다. 공격유형도응용계층공격이많아지고있으며다양한공격패턴을동시에혼합하여공격함으로써기존의수동적인공격대응시스템으로는실질적인서버보호가곤란해지고있다. 기존의 DDoS 공격대응시스템들은저대역 DDoS공격에대하여제대로탐지하지못하며, 특히신규로발생되는응용계층공격에대해서는정해진분석방법이확인되기전까지는탐지가어렵고, 분석되더라도 IP 및포트에대하여패킷드롭기능만을지원하는등의단점이있다. 특히, IP 스푸핑된 IP주소를사용하는 DDoS공격의경우탐지된 Black-list IP와정상적인 IP

58 를사용하는서비스요청까지도동시에드롭시키는문제점도존재한다. 일반적으로널리사용되는 DDoS 공격에대한차단메커니즘은아래의표에서보는바와같다. DNS 씽크홀메커니즘은 ISP에게할당된 IP주소로공격하는경우 DNS 질의요청시차단하는메커니즘을갖고있으며, L7 스위치로는 ACL을통하여 DDoS 공격패킷을차단하는메커니즘을가져가고있다. 또한, DDoS 공격이라고판단되는 IP 패킷에대해서는블랙홀메커니즘을통하여 IP를가상인터페이스로포워딩하여드롭시키는방법을이용한다. [ 표 5-1] DDoS 공격방어를위한방법들 구분 URL 차단 IP 차단 Port Protocol 차단 차단방법 - DNS 싱크홀 : 해당사업자에할당되지않은 IP에서 DNS 쿼리요청시차단 - L7 스위치 : DNS 앞단에서특정 URL에대한 DNS 쿼리패킷을차단 - 블랙홀처리 : 차단하고자하는 IP를가상인터페이스로패킷을포워딩하여드롭시킴 - ACL 처리 : Source IP, Destination IP, 포트별로차단 - L7 스위치 : 포트, 프로토콜별및 TCP/UDP Flooding, Payload 패턴등을설정하여차단 - ACL 처리 : 방화벽, 라우터등에서포트, 프로토콜등을 ACL로설정하여차단 제 2 절 Anycast 기반부하분산 IP Anycast는같은 IP주소를여러호스트에할당하는어드레싱모드이다. 이러한 IP Anycast를가진호스트들은 IP Anycast 그룹을구성하게되는데, 이러한호스트들을 Anycast 서버라고한다. 인터넷단말이 IP Anycast 주소를이용하여네트워크에접속하면, 네트워크에서는단말이접속된접속지역을중심으로가장가까운서버로트래픽이라우팅되도

59 록한다. 여기서가장가깝다는것은라우팅프로토콜에서사용되는 metrics의관점에서가장가깝다는것이다. 이러한 IP Anycast는라우터및라우팅프로토콜에어떠한변경을주지않고기본적으로제공하는기능이다. 이러한기능은클라이언트가위치한가장가까운서버로전달함으로써, 접속속도개선및서버간의로드밸런싱, DDoS공격에대한회복성을크게증가시킨다. ( 그림 5-2) 네트워크기반 Anycast 방법 이러한네트워크기반의 IP Anycast는클라이언트및서버에서의네트워킹구성변경을요구하지않으며, 상위응용계층서비스와의의존성도없으면서부하분산을극대화할수있는장점을갖고있다. 실제적으로 root DNS들은대부분이러한 IP Anycast 기능을통하여 DNS 질의에대한분산처리를수행하여대규모 DDoS 공격시에도피해를국소화하는효과를얻고있다. 아울러, ISP가운영하는캐시 DNS들은대부분 IP Anycast 방식을적용하여서비스를제공하고있다. IP Anycast는 AS 영역에따라내부영역 (Intra-domain) 에서는 IGP를이용하고다른 AS 영역에서는 BGP를이용하여구성이가능하다. 어느경우에든 Anycast 서버에서 Advertising하여야한다. 아래표는 Anycast 방식의장점을간략하게언급하고있다.

60 [ 표 5-2] 네트워크기반 Anycast 방법에대한장점 장점신뢰성개선로드밸런싱성능개선 내용같은 IP주소로지역적으로분산함으로써, 보다개선된서비스이용및신뢰성보장가능 Dynamic layer3 routing에대한 cost 균등배분으로 DNS 질의에대한효율적로드밸런싱가능지역적으로가장가까운서버로라우팅함으로써 DNS 질의처리성능개선 보안강화 분산된서버로 DoS, DDoS 공격대응력개선 공격의지역제한 지역에분산된서버가공격을받아서비스장애가 발생해도다른서버들의서비스는양호 클라이언트단순구성 모든클라이언트는동일 IP 로접근하므로구성편리 서버이용성개선 라우팅장애시에도다른우회루트로트래픽 포워딩가능 아래의자료를보면 DDoS 공격자와 Anycast의분산효과에대한관계를보여주고있다. 결과적으로 Anycast를많이하면할수록네트워크기반 Anycast가응용기반 Anycast보다분산효과에의한회복력이높아짐을알수있다. 실제적으로도 2007년초에 root DNS 서버에대한 DDoS 공격시에 13개의루트서버중 6개서버가공격을당했는데, 그중네트워크기반 Anycast를구축하여로드분산을한 4개의루트서버는공격에대한방어가가능하였지만, 구현하지않은 2개의서버는심각한피해를입은것으로보고된적이있다.

61 ( 그림 5-3) 네트워크기반 Anycast 이용효과 제 3 절 Netflow+DPI 적용 Netflow는시스코에서네트워크장비에서처리되는트래픽에대한세션들을계산하기위한서비스로개발되었으며, 현재트래픽기반분석및제어를위하여가장널리사용되는기술이다. Netflow는세션의흐름을플로우로정의하고, 각플로우의기본이되는출발지 / 도착지 IP주소, 출발지 / 목적지포트번호, IP 포로토콜유형을중심으로해당세션에대한이용정보를작성하기위한포맷을정의하였다. 이 Netflow를이용하면 HTTP, SMTP, UDP 패킷들에대하여세션별로구분및이용량을계산할수있기에, 해당네트워크장비로흐르는모든트래픽플로우에대한패킷사용량및정보흐름을확인할수있으며, 네트워크관리자에게일정기간동안사용된해당플로우에총량을간략하게보고할수도있다. Netflow를이용하여패킷사용량만이아니고, DoS 공격등의과다패킷

62 플로우유입량을분석할수있어사전적인과다 DoS/DDoS 공격을차단할수있는유용한정보를얻을수있다. DPI는플로우패킷에대한계층 7에해당하는모든패킷정보내용을분석할수있어, DNS 질의패킷에대한정상적인사용여부만이아니라, DDoS 공격과같은형태의 DNS 패킷에대한패킷의서술형태를분석할수있는기반이된다. ( 그림 5-4) DPI 기반 DDoS 방어방법 Netflow와 DPI기술을적용한 DNS 트래픽을분산우회하는방법은위 ( 그림 5-4) 에나타난바와같이, 네트워크장비에서 Netflow의정보를주기적으로수집하는장비가있어야하며, 수집장비는수집된정보를기반으로 DNS 트래픽의이상유무를분석하고, 분석결과 DDoS 공격징후가발견되면, 공격완화를위한프로세스를가동하게된다. 이를위하여수집및 DDoS 공격분석시스템은차단정책을제공하는정책제어시스템에게해당트래픽에대한트래픽을우회하도록요구를하게되며, 차단정책제어시스템은해당트래픽에대하여우회가가능하도록네트워크장비에게우회설정을요청한다. 이를위하여해당트래픽경로에대한 BGP 라우팅정보를제공하며, 해당네트워크장비는설정요구된

63 BGP 라우팅정보에기반하여차단정책제어시스템으로트래픽을전달한다. 차단정책제어시스템은라우팅된 DNS 트래픽에대한정밀분석을통하여 DNS 패킷에대한정상적인트래픽과비정상적인트래픽을분리하고정상적인트래픽은 DNS 서버로질의패킷을전달하여서비스가진행되도록하고, 비정상적인 DNS 패킷은필터링정책을통하여패킷을드롭한다. 이러한솔루션의선두업체인아버네트웍스피크플로우는전세계정보, 공동방어체계를활용해체계적이고단계적인 DDoS 방어를제공한다는점이특징이다. 뿐만아니라 DDoS 공격시방어는물론평상시철저한트래픽관리를통해기업네트워크를보호한다는측면에서그효용성이더뛰어나다. 특히, 지난 7.7 DDoS 공격을통해그대응력을확실히보여줬다. 아버네트웍스피크플로우를도입한정부통합전산센터의경우, 센터내행안부 G4C 사이트가공격목표가됐지만신속한대응을통해피해를최소화하고, 정상서비스를유지할수있었다고한다. 그러나이러한방법은 DNS DDoS 공격이감지될경우에만사용이가능한방법으로 ISP들과의긴밀한협조관계하에서적용이되어야만한다. 아울러, 이러한방법은전용장비의구축이광범위하게적용되어야만하는문제점을갖고있다. 제 4 절 GSLB 기반부하분산 GSLB(Global Server Load Balancing) 는인터넷네트워크여러곳에분산배치되어있는많은 DNS 서버중에서이용자 (End User) 에게최상의서비스를제공할수있는 DNS 서버를선정하여서비스를연결하는기술이다. 예를들면, GSLB는어느위치에있는 DNS 서버에장애가발생했을경우다른 DNS 서버로우회연결하여장애를해소한다. GSLB는일반적으로알려져있는 LBS 시스템들의로드밸런싱기술을확장하여서

64 버들을지역적으로분산하더라도보다빠른성능의서비스부하분산을제공하는솔루션으로많이사용되고있다. 예를들면 ( 그림 5-5) 에서보는바와같이클라이언트가로컬 DNS로 DNS 요청을보내게되면, 로컬 DNS는상위 DNS에게 upstream DNS 질의를보내게된다. 그림에서보는바와같이 B 사이트의스위치가 DNS 질의메시지를수신하게되면클라이언트에가장가까운사이트가어느사이트인지를판단하고해당사이트의 IP주소를 Local DNS를통하여클라이언트에게전달하게된다. 해당클라이언트는사이트 B의주소로접속하여해당 DNS 정보를얻어오게된다. 아울러, 각사이트에구축된 DNS 서버들을주기적으로체크하여서버장애등을감지할수있는기능도당연히존재한다. GSLB는지역적으로분산하여야하는서비스에적합하기에예측이불가능한재해에대한피해최소화를위하여금융권의데이터센터이중화, 재난복구센터구축등에많이이용되고있는방법이기도하다. 특히, GSLB는대륙이나 ISP에따라가장빠른방법으로최소한의라우터만을거쳐원하는서버에접속이가능하도록하는방법이다. GSLB는 DNS 서버간에주기적으로 Health 패킷을보내어서버의응답, 손실여부등을고려하여지역적으로가장최적인라우팅매트릭스를계산하고, 해당지역으로부터의 DNS 질의요청시가장빠른응답이가능한 DNS 서버로접속을하도록하여서비스분산을시켜줄수있다. DNS 서버들은서버과부하또는 DDoS 공격, 링크장애등이발생하면 GSLB는이러한응답정보를종합하여해당라우팅매트릭스를작성할수있다. DNS 구축에 GSLB를적용하면아래와같은장점들이있다. - 지능적인 DNS 서버기능제공 : 실제적인 DNS 서버접속 IP주소제공 - 서비스상태, 성능정보수집을통한최적경로서버연결기능제공 - Round-robin 등의트래픽의효율적분산처리기능 - QoS 분산처리기능

65 - 장애시우회접속기능 - 임계치 / 한계치기반자동우회접속기능일반적으로 GSLB는 L4 같은고가의장비로구성하여사용하는데 Cisco의 4492R 나 F5의 3DNS 장비등이있다. 하지만엄청난고가의장비로일반중소규모의업체들이사용하기에는투자비용이큰단점이있다. 현재 DNS 서비스의중요성을인식하고있기에전세계에지역적으로분산하여 DNS 서비스를제공하는업체들은이러한방법을이용하여서비스를제공하는경우가많다. ( 그림 5-5) GSLB 를이용한 DDoS 방어방법 제 5 절클라우드기반부하분산 클라우드서비스는별도로운영되는서비스자원들의가용성을높이면서, 다수의서버들의자원을활용하여처리성능을극대화하기위하여나온기술이다. 클라우드는물리적자원의가상화인 IaaS(Infrastructure as a Service) 서비스, 서비스플랫폼을가상화하기위한 PaaS(Platform as

66 a Service) 서비스, SaaS(Service as a Srevice) 서비스로크게나누고있다. 클라우드서비스는가상화기술의확장으로단말가상화를비롯하여최근에는모바일단말에대한서비스들은거의상당수가클라우드기반으로서비스가제공중인추세이다. 클라우드기반 DNS 구축은 DNS 서버를지역적으로분리하여구축하고, 이들을클라우드상에서서비스하는방법을의미한다. 일반적으로 Cloud기반 DNS 서비스제공업체들은크게물리적인위치를 Anycast 방식으로연동하여서비스를제공하는데, GSLB를이용하여접속클라이언트에가장근접한위치에있는 DNS 서버에서서비스를제공하도록하는방법이다. 이러한방법은기술적으로앞절에서언급한절차에따라서비스를제공하는방법으로, 용어적으로클라우드라는의미를사용하는것으로이해된다. 국내의씨디네트웍스를비롯하여, DNS Made Easy, DynDNS 등이이러한방식을이용하여전세계적으로인터넷서비스를제공하고자하는호스트들을대상으로호스팅서비스를제공하고있다. ( 그림 5-6) 클라우드기반 DDoS 방어방법

67 또한인프라기반이아닌클라우드플랫폼기반하에 DNS 서비스를제공하는방법이있다. 이러한방법은클라우드서비스엔진을제공하는구글이나아마존의클라우드플랫폼을이용하여 DNS 호스팅서비스를제공하는것이며, 아마존 Route53, 구글 DNS, OpenDNS 등이클라우드기반 DNS서비스를제공하고있다. 이러한방법은순수클라우드서비스에가장근접한 DNS 서비스제공방법으로각도메인네임데이터들을클라우드환경에맞게지역적으로분산하여관리하며, 클라이언트로부터 DNS 질의가들어오면, 해당클라우드엔진을통하여구글검색에서보는바와같이분산저장된 DNS 도메인정보를찾아서서비스를제공하는방법이다. 아래그림은하나의예로써 RACKPAGE DNS 서비스를제공하는방법이다.

68 제 6 장 DNS 대피소모델 DNS서비스를제공하는업체들은앞에서도언급하였듯이크게보면, root 도메인서버, cctld, gtld DNS 서버운영업체들이있으며, 그하위계층에권한위임을받은 DNS 서비스를제공하는 DNS 호스팅업체들과, 일반단말이용자들의인터넷접속서비스를제공하는 ISP들이운영하는캐시 DNS가있다. 또한학교, 공공기관등의일정규모이상을수용하는기관들은기관내부의서비스보호및보다빠른 DNS 서비스제공을위하여별도의 DNS를운영하고있다. 일반적으로상위계층의 DNS 및캐시를운영하는 ISP들의캐시 DNS는장애발생또는 DDoS 공격에의한서비스거부가발생되면그파급효과가전방위적이기때문에엄격한 DNS 서버관리및 DNS 장애를극복하기위한네트워크인프라를구축하고있으며, DDoS 공격방어를위한트래픽분산제어정책을도입하여안정적이면서신뢰성있는서비스를구축하여운영하고있다. 또한, 일부 DNS 서비스호스팅업체들도 GSLB/SLB를이용하여 DDoS 공격및서비스장애시에트래픽을분산하는방법및우회하는방법들을이용하고있다. 그러나이러한 DNS 서비스대한 DDoS 공격방어및우회전략을도입하기위해서는매우고가의시스템들을구축하여야하기에소규모로 DNS 서비스를운영하는중소업체들은 DDoS 공격에취약한구조로서비스를할수밖에없는상황이며, 서비스장애시에도전문인력을동원하여빠른시간내에서비스를정상적으로복구해야만하는한계를갖고있다. DNS 서비스대피소모델은위에언급한바와같이 DDoS 공격에취약한중소규모의 DNS 서비스업체들에대한 DDoS 공격을대비하여사전트래픽분산및 DDoS 공격시에효과적으로대피소를이용하여보다안정적인서비스제공및 DDoS의사전공격탐지능력을제공함으로써 DNS 서비스의신뢰성을제고하고 DNS DDoS 공격의파급효과를최소

69 화하는데그목적이있다. 제 1 절기존부하분산방안의문제점분석 DNS 대피소모델을정립하기위해서는 DNS 서비스운영업체들간의네트워킹이슈, DNS 서비스망구축, DNS 트래픽에대한처리방안, 도메인등록 / 관리에대한협력및 DDoS 공격시에공격차단을위한메커니즘에대한상호협력등의다양한전제조건에따라망구성이달라질것으로예상된다. 첫번째는 DNS 트래픽의부하분산및 DNS DDoS 공격완화를위한대피소의활용방안에대한고민이다. 그리고대피소 DNS 구축을통하여 DDoS 공격확산을방지하기위한공격징후탐지및분석방안에대한고민이중요하다. 앞장에서언급하였듯이 DNS 서비스대한 DDoS 공격방어를위하여일반적으로사용하는방법은 DDoS 공격완화를위한부하분산이다. 이러한방식은크게 Anycast 방식, GSLB/SLB 방식, NetFlow+DPI 방식, 클라우드방식이존재하는데, 이러한방식들의 DNS 대피소모델적용방안및적용상의문제점들을간략하게언급하고자한다. 1. 네트워크기반 Anycast 방식문제점 네트워크기반 Anycast 방식은지역적으로서버들을분산구축하고, 하나의 IP 주소를이용하여단말이접속된지역에가까운서버로서비스접속이되도록하는네트워킹기술이기에, 대용량캐시 DNS 서버운영업체인 ISP들이가장많이사용하는방식이다. 그러나 DNS 대피소를위하여 Anycast 방식을적용하기위해서는 DNS 운영업체들의서버 IP주소가동일하게해야하는문제점을안고있다. DNS 서버운영업체들은서로다른 IP 영역을사용하고있으며, 네트워크사업자로부터서브넷기

70 반의 IP 주소풀 (pool) 을할당받아서비스를제공하기에 IP 주소풀의 DNS 서버 IP 주소만을별도로모아 ISP 사업자에게복수의 Anycast 서비스를적용하도록요청하기에는상당한주의를요하는작업이될것이다. DNS 서버단에위치한라우터장비를이용하여 Anycast IP주소정보를 ISP에게전파함으로써쉽게 Anycast가가능하다. 그러나 Anycast를위해서는 Anycast IP 주소를 DNS 서비스운영업체와협의하여 Anycast 정보를전파하여야함으로, 각 DNS 서비스운영업체의 DNS 서버 IP주소를일치화하는과정이요구된다. 또한네트워크기반 Anycast 방식은클라이언트가 DNS서비스를요청한위치에가장근접한위치에있는 DNS 서버에접속하도록하는방식- 정확히말하면라우팅기반목적지주소에대한매트릭 ( 라우팅홉 )-이기에 ISP가 DNS 서버운영업체가속한 ISP와다른 ISP로부터유입되는 DNS 트래픽이대피소 DNS 서버로만전달되어본연의 DNS 운영업체의서비스를대행하는것처럼보일가능성이높다. ( 그림 6-1) Anycast 방식적용

71 결과적으로대피소 DNS로트래픽이집중화되어목적한바의 DNS 대피소역할이희석될수밖에없을것이다. 다만트래픽의분산및경로정보관리측면에서 IP라우팅계층을통해구현함으로타기술보다쉽게접근및구현이가능한이점을가지고있다. 2. Netflow+DPI 방식문제점 Netflow+DPI 방식은일반적으로 ISP들의라우터로부터패킷플로우에대한수집장치가필요하며, 이를근거로 DNS 트래픽의과다유입을판단함으로써별도의스크리닝시스템으로트래픽들이전달될수있도록네트워크장비에라우팅변경을요청하고입력되는 DNS 패킷들을세부적으로분석하여유해한 DNS 패킷들은사전차단하고정상적인 DNS 트래픽만이서비스가되도록하는방식이다. 이방식은일반적인상황에서는 DNS 서비스운영업체에서 DNS 서비스를제공하며, 라우터로부터수집된트래픽을분석하여트래픽과부하또는 DDoS 공격이예상된다고판단되면, DNS 서비스제공업체의 IP 주소에대하여 ISP에게 BGP 또는리다이랙션정책적용을요청함으로써대피소 DNS로트래픽이유입되도록한다. 대피소 DNS 구간에서는스크리닝시스템을이용하여공격이라고판단되는패킷은차단하고정상적인패킷에대해서는 DNS 서비스운영업체로전달하여서비스가되도록한다. 이러한방식을적용하기위해서는 DNS 서버운영업체들과상호협력방안을통하여라우팅정책적용에대한기준을마련하고대피소는수집장치및스크리닝시스템을별도로구축하여운영하여야한다. 아울러 ISP 라우터로부터트래픽수집을하여야하는데, 트래픽수집을위한협력을얻는것이매우어려울것으로예상된다. 또하나의방법으로는 DNS 운영업체의 DNS 전단라우터를대상으로트래픽수집하여분석하는방법이다. 이를위해서는 DNS 운영업체는 Netflow 기능을갖고있는라우터를추가구축하여야한다.

72 그러나이방식은라우터트래픽을수집하여분석하기에 DNS 트래픽의과부하에대한기준및정상 / 비정상 DNS 패킷의구분이근본적으로어렵다는단점이있다. 또한점점더지능화되고대규모좀비들을이용한소규모공격을통한 DDoS 공격에대한사전분석이어려운단점이있다. 그리고정상적인 DNS 패킷에대한분리및 DNS 운영업체서버로트래픽을전달하기위한스크리닝시스템개발이선행되어야만한다. DNS 스크리닝시스템의주요기능은아래와같다. - 라우팅정책관리 - DNS DDoS 공격패킷분석 - 정상 / 비정상 DNS 패킷분류 - 정상 DNS 패킷포워딩 - White-List/Black-List 관리 - DNS 운영업체 DNS 서버 Health Check ( 그림 6-2) Netflow+DPI 방식적용

73 3. GSLB/SLB 방식 GSLB/SLB 방식은 ISP와무관하게자체망으로구성이가능한방법으로, 기존의로드밸런싱기능을갖고있는 L4 장비를좀더기능적으로고도화하여지역적으로분산된서버를두고서비스가가능하도록하는방법이다. GSLB/SLB는서버의분산을통한서비스부하분산, 서버장애에대한우회기능들을효과적으로수행하도록하여자체망을통한전국적인서비스를하기에는매우적합한방법이다. 이방식은각 DNS 서버운영업체의트래픽을하나의 GSLB/SLB 장비로모아분산하는방법을적용하던지, 각 DNS 서버운영업체들에전부 GSLB/SLB 장비를구축하여각서버로유입되는트래픽을최상의조건에있는서버가처리할수있도록트래픽을분산하는방법으로적용할수있다. GSLB/SLB는각 DNS 운영업체와논리적인네트워크구성을통하여각 DNS의부하상태등을검사하여가장최적의 DNS 서버에접속하여서비스가되도록할수있다. 그러나 GSLB/LSB 장비를추가구축하기에구축비용및운용비용부담이크며, DDoS 공격대응시스템구축은별도로고려되어야한다. 아울러 DNS 운영업체들의서버성능이높지않은상황에서는대피소 DNS로부하가집중되는문제점도안고있기에각 DNS 운영업체들간의부하분산방법, 우회조건등에대한정의를하여야한다. 4. 클라우드방식 클라우드방식은클라우드플랫폼에의존하여서비스가되므로, 클라우드서비스를제공하는업체의자원을임대하여클라우드플랫폼의기술에맞게적용하여야한다. 클라우드는실제추가구축비용없이필요한자원을임대받아서비스를제공할수있는장점과기존서버집중화된서비스보다높은성능을제공할가능성이높다.

74 ( 그림 6-3) GSLB 방식적용 그러나이러한서비스를제공하기위해서는클라우드플랫폼에맞는 대피소 DNS 서비스프로그램을개발하여야하는단점이있어, 구축및 운용에상당한기간을필요로한다. 제 2 절대피소모델적용을위한고려사항 앞에서도언급하였듯이 DNS는인터넷서비스를위한가장핵심적인인프라이지만, DNS 서비스는매우간단한 UDP 프로토콜을이용하여누구나쉽게접근이가능하고, 방화벽등을이용하더라도차단이곤란한특성을지니고있으므로 DDoS 공격에매우취약하다. 이러한공격에서비스보호를위하여일반적으로고려되는방법은호스트등록시여러 DNS 사업자에분산등록하여특정 DNS 운영업체서버가서비스거부를당하더라도다른 DNS 운영업체가서비스를제공할수있도록하거나, Anycast 등을이용하여지역적으로 DNS 서비스를제공함으로써대규모

75 DDoS 공격이진행되더라도국소적으로영향을받도록운영하고있다. 이러한 DNS 트래픽완화방법도최근 DDoS 공격사례에서나타났듯이실제적인대규모공격에는속수무책으로당할수밖에없을경우도발생한다. 아울러, DNS는체계적으로분산되어구축되어있다. 일반적으로일반단말이 DNS 질의를요청하는경우에 ISP가제공하는캐시 DNS 주소로접근하게되고, 캐시 DNS는 root DNS로부터해당사이트주소가있는서브도메인 DNS까지일련의질의 / 응답과정을거쳐실제적인 IP주소를제공하는데, 각 DNS 서버들은그용도및수행주체별로위에언급한다양한 DNS DDoS 공격에대한보완대책을마련하고있다. 그러므로본장에서는다양한 DNS의특징들을고려하여 DNS 대피소에적용이가능한 DNS를분석하고, 대피소모델에적용하기위해서고려되어야할사항들은어떤것들이있어야하는지와대피소와연동하여서비스를제공할경우, DNS DDoS 공격에대한징후를확인하고확인된공격징후를관리하는방법및대피소를이용하는 DNS들의운영방안들을언급하고자한다. DNS 서비스 DDoS 공격완화및사전징후탐지및분석을위한 DNS 대피소적용을위해서는아래의사항들이고려되어야한다. 1. 대상시스템 DNS 서비스를위한시스템들은크게캐시 DNS, 권한위임 DNS로분류가가능하며, 권한위임 DNS는그역할에따라 root DNS, tld DNS, 서브도메인 DNS로구분이가능하다. 앞에서언급하였듯이각사이트의실제적인도메인네임을갖고있는서버는서브도메인서버이다. 서브도메인서버는사이트를운영하려는고객으로부터해당 IP주소에대한도메인네임을등록받아이를운영 / 관리하면서 DNS 서비스요청시해당사이트에대한 IP주소를제공하기도하며, 반대로 IP주소에대한도메인네임을알려주기도한다. 일반적으로 root DNS, tld DNS는전세계적으로

76 공인된기관에서등록및관리를하고있으며, 도메인네임에대한상위기능을담당하고있기에매우안정적으로관리되며, DDoS 공격등을대비한분산화메커니즘및 DDoS 대응시스템들을도입하여운영하고있어 DDoS 공격에의하여쉽게서비스거부가발생되지는않는다. 권한위임 DNS는실제관리되는도메인네임정보를제공하는시스템으로기업또는호스팅업체들이운영하고있다. 주로기업은자신의사이트관리를위하여서버를운영하기에도메인네임설정및서비스업데이트등의기술전문성이약한상황이며, 호스팅업체들은도메인에대한권한을위임받아서비스를제공하는데, 하나의서버에수천 ~ 수만규모의도메인네임들을관리하기에수익성이높지않다. 그러므로호스팅업체또는기업은 DNS 서비스에대한 DDoS 공격에대한방어시스템을구축하여체계적이고안정적인서비스를제공하고싶지만, 수익성대비구축및운영비용이효과적이지않은한계를갖고있다. ( 그림 6-4) 는 DNS 서비스를위한각 DNS의역할및운용기능을간략하게보여주고있다. 실제도메인네임정보를제공하는서브도메인 DNS에대한취약성이 DDoS 공격의핵심대상이될수있으며, DNS 대피소모델에서도호스팅업체의 DNS의생존성과안정성을위한부하분산및보안방안을우선적으로고려하여야한다. 특히, 수많은도메인을하나의서버에운영하다보니 DDoS 공격이나기타장애로인하여사회전반적으로피해효과가크게나타날수있다. 그러므로서브도메인 DNS를운영하는호스팅업체 DNS를대상으로대피소 DNS 서비스를제공함으로써 DDoS 공격완화및공격대응체계를고민할필요가있다.

77 ( 그림 6-4) DNS 기능별및주요특징 2. DNS 트래픽부하분산방법 호스팅업체 DNS는일반적으로자체적으로서버들을구축하여내부적인로드밸런싱을통하여하나의서버에장애가발생하더라도다른서버가정상서비스를하는구조를갖고있고일부는로드밸런싱이아닌 1 차, 2차 DNS 서버구성으로서비스를제공하기도한다. 이러한구조를고려해볼때대규모 DNS DDoS 공격또는자체 DNS 장애및링크장애로인하여정상적인서비스가불가능할경우가발생할가능성이큰것이현실이다. 그러므로호스팅 DNS에대한서비스장애가발생하더라도중단없이 DNS 서비스를제공하기위해서호스팅 DNS 업체에서비스등록을할때, 대피소 DNS에도동시에등록하여대피소 DNS를통한서비스가가능하도록함으로써대규모 DDoS 공격에따른피해를줄일수있다. 대피소 DNS에도메인네임등록이완료되면, 호스팅업체는대피소

78 DNS 정보를포함한 NS 정보를 cctld 등에등록한다. 그리고 cctld에서 NS 정보제공시 Round-Robin 방식 - 대부분의 DNS 설정시초기설정값 - 으로 NS 주소정보를제공하면순차적으로호스팅업체 DNS와대피소 DNS의접근이가능하게된다. 이에대한논리적구성은 ( 그림 6-5) 에서보는바와같이호스팅업체는자신을관리하게될 cctld 등에자신이갖고있는 DNS 주소와함께대피소 DNS 주소를포함하여도메인을등록한다. 그러면, 캐시 DNS가주기적으로 cctld에게해당사이트주소를관리하고있는 DNS 주소를요청하게될때 cctld는요청시마다우선적으로 NS 정보를얻어야할 DNS 주소를 Round-Robin 방식으로제공하게된다. 그러면, 캐시 DNS는도메인네임정보를얻기위하여가장우선적으로표시된 DNS 주소로질의 / 응답절차를진행하게될것이다. 예를들면, 캐시서버가처음 cctld로요청하면, 가장우선순위가높은 1차 DNS 주소를이용하여도메인네임정보를얻게되고, TTL이경과한후다시요청하게되면 2차 DNS 주소가가장우선순위가높게되어 2차 DNS 서버로부터도메인네임정보를얻게될것이며, 그다음은대피소 DNS로부터도메인네임정보를얻어서서비스를하게될것이다. 이러한 Round-Robin 방식의 DNS 접근방법은모든 DNS가동시에 DNS 서비스가가능하도록하는장점으로 DNS 부하분산이가능하기도하지만, 대피소 DNS 구간에는보다강력한보안및방어메커니즘을구축하여호스팅 DNS 업체의서비스거부를최소화할수있을것이다.

79 ( 그림 6-5) NS 의 Round_Robin 처리메커니즘 3. 대피소보안시스템운용 호스팅업체 DNS의부하분산을통한 DNS 서비스연속성을보장함으로써서비스의가용성은높아질수있다. 그러나 DDoS 공격은갈수록정교해지고새로운변종패턴들은정상적인패킷처럼위장하여공격을하기에, 기존보안및 DDoS 대응체계를무력화시킬수있다. 그러므로 DNS 대피소는기존영세호스팅 DNS 서비스를보호하기위한보다강력한보안시스템을구축하여서비스의가용성을높이도록할필요가있다. 예를들면, 비정상형태의 DNS 패킷들은서버에부하를주지않도록사전차단하고, 일반적으로알려진 DNS 공격에대한방어체계를구축함과아울러 DDoS 공격징후를사전탐지하여예상되는대규모공격에대비하기위한대응체계를구축할필요가있다. ( 그림 6-6) 은서비스거부를유발하는다양한패킷들에대하여일반적으로구성하는보안시스템구축으로이해해도무방하다. 다만용도에따른방어및대응전략이조금씩다를수있다.

80 ( 그림 6-6) 대피소보안시스템주요구성 ISP 라우터 ISP 라우터는인입되는트래픽중해당포트에대하여임계값설정하여공격 IP로판단되면 Null0 라우팅처리를하여 ICMP, UDP 플러딩공격을방어할수있다. 이러한플러딩패킷들은자원고갈형대역폭공격으로네트워크상의모든서비스에장애를유발할가능성이높기에주요세션들에대해서사용량근거로일정범위를넘어서는패킷에대해서는 ISP 라우터에서 Null0 라우팅처리를함으로써 1차적으로서비스를보호하는방법이다. 이러한방법은 IP 기반으로동작하기에대량공격이라고판단될때 ISP로 Null0 라우팅요청을통하여동작하도록한다. 아울러, Null0 라우팅을위한추가적인기능으로 urpf 등을사용하여출발지주소를검증하여처리하는방법도있다. 또한, DNS와의부하분산방법으로네트워크상에여러지역으로 DNS를분산한후 Anycast 방식을적용하여여러서버로트래픽부하분산이가능하도록한다. 또한, 대형 ISP 캐시 DNS 서버의 IP 주소에대하여출력포트에 Priority Queueing 방식을적용하여대량의대역폭공격환경에서도서비스가지속되도록할필요가있다. Priority Queuing은정상적인캐시 DNS 서비스를보장하는방

81 법으로대규모 DDoS 공격시에도서비스를보장하는좋은방안이기도 하다. 경계라우터경계라우터는대피소로인입되는지점의라우터로단순한비정상패킷들을라우터에서받아들이지않도록설정하여, Tear Drop, Land Attack 등의공격을방어하는데사용된다. 특히, IP 스푸핑또는사용되지않는 IP 주소들로입력되는패킷들에대하여차단하는기능을갖출필요가있다. 또한특정지역에서입력되는공격이라고판단되면, 해당지역의 IP 대역에대하여 Null0 라우팅처리를통하여후단의서비스에장애가발생되지않도록한다. 보안장비 (UTM 또는 XTM) 통합형보안장비 ( 방화벽, 안티바이러스, IPS, DDoS 차단등 ) 를이용하여알려진이상트래픽차단, 시그니쳐기반 DoS 나 DDoS 차단을수행한다. 특히 DoS와 DDoS 특화된방어장비는정상적인패킷포맷으로입력된응용레벨의공격에대하여시그너쳐를분석하여공격여부를판단하는시스템이다. 이러한시스템들은일정시간로그및공격정보에대한유형을분석하여 DDoS 공격의특성및공격에대한사전판단이가능하다. 특히, DDoS 공격이대량의좀비들을이용한소규모의공격으로진화함에따라, 시그너쳐만이아니고일정기간동안의행위를분석하여야만보다정교한 DDoS 공격대응이가능하게된다. 로드밸런서대부분의 DNS 서버설계시확장성부분과안정성부분을고려하여로드벨런서 ( 부하분산 ) 시스템을일반적으로적용한다. 이를통해안정적인서비스를보장하게된다. 본대피소모델의관점에서는 DNS 서비스질의는캐시 DNS로부터의접속이대부분이다. 그러나공격의도를갖고있는캐시서버들은일반적으로정상적인서비스요청의경우는거의없

82 고새로운접속을시도할경우가많다. 그러므로정상적이라고판단되는캐시 DNS의서비스는정상적으로허용할수있도록 ISP라우터에서적용한 QOS 방식을최종 DNS 서버앞단로드밸런서에도 QoS 기능을적용하여대다수의정상이용자에대한서비스는보장하도록하여야한다. 정상사용자의 IP에대해서는별도의관리를통하여입력되는트래픽에대하여우선처리가가능하도록함으로써서비스의가용성을높일수있다. 이를위해실시간 Rate-Control 및 Black-List 연계를통한동적적용이필요하다. 로드밸런서는 DNS 서버에대한다양한상태정보를모니터링하고이를토대로최적으로 DNS 서비스가가능하도록트래픽을분산처리하는부분역시기본적으로함께고려되어야한다. 4. 공격징후분석및방어메커니즘 서버의입장에서보면 DDoS 공격은일반적으로대규모공격을하기전에평상시보다 2~3배많은트래픽이유입되기시작하면서시작된다. 이러한패킷유입은 DNS에도착하기전에사전보안시스템에서도나타날수있으며, 서버처리과정에서도확인이가능하다. 공격유형에대한확인과정은패킷들의이용패턴및세부시그너쳐들을분석하기도하여야하지만, 최근에는행위기반 DDoS 공격이많아지기에보다정교한분석메커니즘을이용하여야만 DDoS에대한가능성을확인할수있다. 이러한 DDoS 공격여부를사전에파악하기위해서는각보안시스템으로부터비정상이라고판단되는패킷정보들을수집하여패킷패턴에대한위험성을분석하여대피소에구축된각시스템들을이용하여사전방어가가능하도록하여야한다. ( 그림 6-7) 은대피소 DNS시스템구축에대한정보수집및조치에대한개략적인역할들을보여주고있다.

83 ( 그림 6-7) DNS 패킷이상징후수집및분석메커니즘 제 3 절대피소구축운영모델 대피소 DNS 구축을위한앞절에서언급한고려사항을정리하여보면아래와같다. - 호스팅 DNS에대한대피소 DNS 활용 - DDoS 공격완화및이상현상분석을위하여대피소 DNS를보조 DNS로활용하되, Round-Robin 방식으로 NS 정보제공 - DNS 서비스패킷들의과도트래픽유입및 DDoS 공격방어를위한강화된방어시스템구축 - 다양한공격징후및패턴분석을위한분석및대응시스템운용 위가정을근거한대피소 DNS 운영모델은 ( 그림 6-8) 과같다. 호스팅업체는대피소 DNS를추가보조서버로운영하도록하고, 호스팅업체에서대피소 DNS를 Zone 동기화하도록한다. 이는전적으로호스팅 DNS 업체의협력체계를구축하여야만가능하게된다. 아울러호스팅

84 DNS 업체는상위도메인 ( 예 : tld DNS) 서버에게해당 NS 정보를제공한다. 다만, 상위 DNS는해당 NS 정보를요청하게될때, Round-Robin 방식으로 NS 정보를제공하도록한다. 이후의절차는일반적인 DNS 질의처리절차에의거하여서비스가제공될것이다. 그결과로, 대피소 DNS 서버로의 DNS 질의요청이들어오게되고, 대피소 DNS는해당 DNS 요청패킷들을분석하고정상적인서비스가가능하도록하며, 강력한보안메커니즘에의하여다양한방어체계를수행하게될것이다. 대피소 DNS에구축된 DDoS 대응분석시스템은보안시스템들로부터수집된이상패킷들의공격징후에대한분석및 DDoS 공격시해당공격패턴들을신속하게분석하여 DNS DDoS 공격에대한조기방어및차단정책을수행하여 DDoS 확산을방지하게된다. ( 그림 6-8) 대피소 DNS 운영모델 대피소 DNS 를운영하기위해서는호스팅 DNS 업체의도메인등록정 보를공유하여야하며, 필요시 TTL 조정등을통하여보다효과적으로 대피소 DNS 를운영하도록할수있다. 아래에는대피소모델을운영하

85 기위하여필요한핵심적인기능들을언급하고자한다. 1. 도메인서버간 Zone 동기화 ( 대피소 ~ 호스팅사업자 ) 다양한호스팅사업자들의 DNS는개별업체의특성에따라독자적인 GUI와 API연동을통해개별적인관리및운영을하고있다. 이러한환경에서의대피소 DNS 연계를위해서는별도의응용어댑터 (Application Adapter) 개발이요구되며해당시스템은최소한의 Zone 동기화와필요시 RR에대한 TTL 값변경을통해 DNS DDoS 공격시방어기능과대피소웹페이지주소로의리다이렉션기능이수행되도록한다. 단, Zone 동기화주기와방식에대한세부적인부분은구현과정에서일정부분최적의값을위한시뮬레이션과정이요구된다. 2. 대피소도메인서버 Anycast 적용 대피소 DNS의분산구성을위해서는기존사업자와대형도메인서버의서비스분산모델로안정성이입증된 Anycast 기술을통해구현한다. 특히 ISP별로 Anycast IP주소를달리하여 ISP로부터의유입되는트래픽별로대피소 DNS를운영할수도있다. Anycast를이용하는방안들은추후세부적으로언급할것이다. 3. QoS 정책활용및적용 DDoS 공격과같이대규모공격시기존 DDoS방어체계만으로서비스보장이불가능하다. DDoS 공격에대한방어시스템측면에서도오탐에대한부분을고려한다면알려진시그니쳐기반의공격에대한대응으로적극적인방어전략을구현하기힘들기때문이다. 이러한경우대부분의사용자가이용하는대형사업자의캐시 DNS들에대한주소를사전에파

86 악하여해당 IP 주소에대한우선처리 QoS 정책을 ISP 라우터에직접적용하여대피소연결구간대역폭이고갈된상황에서도 ISP 캐시 DNS의요청에응답이가능하도록구현할경우최악의서비스중단까지는막을수있다. 단, 사업자와의사전공감대및적용에대한협조가요구된다. 4. 강력한안티 -DDoS 환경구축 DDoS 공격에대한인지뿐만아니라기본적인이상트래픽에대한차단또한안정적인 DNS 서비스구현을위해요구된다. 이를위해 UTM이나 XTM과같은통합보안기술을이용하여방화벽, IPS 등을함께구현할필요가있다. 이를통해보안영역의방어수준을극대화하게된다. 특히, 이러한통합보안기술들은최근병렬처리구조를탑재하여 DNS 관련패킷처리시지연시간등의문제를최소화하는것이가능하다. 5. 동적 Rate-Control 및로드벨런싱 DNS 질의의특성상과도한질의를발생하는단말이나캐시 DNS에대해서는전체적인서비스보호를위해 DNS 질의개수를제한할필요가있다. 물론평상시에는제한을둘필요가없겠으나, DDoS와같은공격징후가평상시와다르게나타날경우서비스중단을미연에방지하기위해동적인 DNS 질의갯수제한이요구된다. 이러한정책의적용시반드시 Black-List 와 White-List 구별이요구되며우선적용은 Black-list 기반적용차단을기본으로하면서단계별방어시나리오를구축하여순차적인 Rate-Control 기능을구현할필요가있다. 6. 이상트래픽 ( 쿼리 ) 분석및기존 Black-List 통합 DNS 질의를수행하는다양한단말과캐시서버에대해지속적인트래

87 픽모니터링이요구된다. 최근공격유형을볼때사전분석이실질적인공격시방어모델로적합한부분이있다. 분석과정은보안장비에서축적된로그나보고서정보, 로드밸런서에의한 DNS Rate 분석, DNS에서발생되는 DNS 응답정보에대한 OPCode 분석등다양한정보를기반으로한복합적인분석의접근이요구된다. 이러한분석을통해 Black-List 를생성하고, 해당리스트에대한단기, 중기, 장기분석을통해 Black-List내의 IP 주소에대해서도수준별분류를해나가야한다. DDoS 의공격에의한정책적용또한단계별적용전략을통해선의의피해자를극소화하는것이요구되기때문에수준별분류는반드시요구된다. 또한, 이러한 DNS 서비스이용자측면의 Black-List는기존운용중인대피소내의 Black-List나 Zombie-List와함께상호분석하는것도보다효과적인방안으로본다. 다만서비스형태가틀린부분을감안한다면상호데이터의비교는일정부분제한을두어야한다. 제 4 절대피소 DNS 의부하분산방안 대피소 DNS를이용한호스팅업체 DNS를보호함과아울러, 서비스의연속성을보장하는구축방안은 DNS 서비스의생존성을강화하는방법이다. 그러나좀비들에의한 DDoS 공격은갈수록대규모화되고있어실제적으로수십 Gbps급의동시공격으로밴드폭등의자원을고갈시키는방법으로전개되고있어, 대피소 DNS를구축하더라도자원고갈형공격에는그한계가있을수있다. 그러므로대피소 DNS를서버팜으로구성하기보다는지역적으로분산시켜최후의서비스보루인대피소 DNS 의안정성을보장할필요가있다. 이러한방법은보다안정된대국민서비스를보장함으로써강력한 DDoS 공격에도생존성을강화하는방법이된다. 이를고려한대피소모델은크게두가지로정리할수있다. DDoS 공

88 격에대한최악의순간에도대피소의생존성을위하여대피소 DNS는여러곳에분산되어있다는가정을할필요가있다. 이를위한첫번째는부하분산을위한 Anycast 방식을적용하여서비스생존성을보장하는방법과두번째는프락시를이용하여부하분산을통한서비스생존성을보장하는방법이다. Anycast 방식은 ( 그림 6-9) 에서보는바와같이네트워크에서가장가까운지역으로 DNS 질의를전달하는방법이다. 이러한방법은 ISP의캐시 DNS 또는 root DNS에많이적용된방법으로적용이보다쉬우며안정적으로동작이가능한방법이다. 프락시방식은 ( 그림 6-10) 에서보는바와같이네트워크상에프락시를두고, 이프락시가 DNS 질의정보를수신하도록하고, 수신된질의에대하여프락시와대피소 DNS간에연동을통하여 DNS 질의에응답하는방법이다. ( 그림 6-9) 개방형서비스모델구성

89 ( 그림 6-10) 은닉형서비스모델구성 1. 개방형 (Anycast 기반 ) 서비스모델 개방형서비스모델은호스팅업체와대피소 DNS를 Zone 동기화하고, cctld에 1,2,3차에대한 NS 정보를제공하고, 대피소는부하분산차원에서 Anycast 방식을적용하는방법이다. ( 그림 6-11) 에서보는바와같이호스트가 DNS 질의를하게되면, cctld는해당도메인에대한 1,2,3차에대한 NS 정보를 Round-Robin 방식으로제공하게된다. 여기서호스트는일반적으로는캐시 DNS에해당되지만, DDoS 공격을시도하는호스트일수도있다. 호스트는해당 NS에대한정보를기반으로가장우선순위로설정된 NS 정보를이용하여서비스를받게된다. 이럴경우, 1차,2차,3차가골고루서비스가가능한형태로서비스가진행된다.

90 ( 그림 6-11) 개방형서비스구성도 Anycast는요청되는 ISP별로구분하여적용이가능할것이며, 해당 ISP 별에서요청되는 DNS 질의는해당지역의 Anycast 기반으로인접된대피소 DNS로전달될것이다. 본서비스모델을적용하기위해서는사업자구간에는 BGP를이용한 Anycast가적용되어야한다. 그리고캐시 DNS로가장하여접근하는악의의호스트도있을수있기에필요시양호하게운영하는 ISP 캐시 DNS 로부터의 DNS 질의에대해서는 QoS 정책을적용하여우선처리가가능하도록함으로써, 선의로이용하는 DNS 서비스에대한보호방안을강구할수있다. 대피소구간은라우터, 보안, 정책제어등을통하여입력되는 DNS 질의에대하여실제적인트래픽 QoS 제어및비정상트래픽에대한차단, 일정이상의 DDoS 공격트래픽에대한임계값및 DDoS 공격이예상되는 DNS 질의트래픽에대하여사전분석메커니즘및차단정책을적용한다. 또한, 입력되는 DNS 패킷에대한다양한로그를수집하여분석함

91 으로써, 예상치못한 DDoS 공격징후들을분석하고이에대한사단조 치를취할수있다. ( 그림 6-12) 개방형서비스구성에따른구간별역할 ( 그림 6-13) 은 DNS 서비스절차를보여주고있다. 그림에서보는바와같이, 호스트가 cctld로 a.co.kr에대한주소를요청하면, 미리등록되어있는 1,2,3차 NS 정보를호스트에제공한다. 제공된 NS를기반으로서울호스트는우선적으로 1차 DNS에 IP주소정보를요청하게되고, 응답에실패를하게되면 2차 DNS로 IP주소정보를요청한다. 1,2차 DNS로부터주소응답에실패를할경우, 대피소 DNS 주소로질의를보내게된다. 그결과, 대피소 DNS에서 IP 주소정보를응답하게된다. 대피소 DNS는 DDoS 공격을대비하여 1,2차 DNS보다훨씬충분한대역폭으로연결되어있고, DDoS 공격을분산시키기위하여 Anycast로동작을하도록구성되어있어, 충분한 DDoS 방어및분석이가능할것으로판단된다.

92 ( 그림 6-13) 개방형모델에서의동작과정 ( 그림 6-14) 는대피소 DNS 구축시 DDoS 공격에대한사전대응및대규모공격시 DDoS 분석및조치를위한각시스템에대한요구사항이다. 대피소 DNS의최전단에위치하는라우터는네트워크와 QoS 트래픽제어를위한기능및네트워크사업자간의 Anycast를설정하고전파하여지역적트래픽분산을위한기능을수행한다. 보안시스템은시그너쳐기반의비정상트래픽에대한차단, 불필요한포트로의접근차단, 차단정보, 비정상패킷에대한정보를보다세밀하게분석및확인을통한대응조치를위하여분석 DB로전달하는기능을수행한다. 정책시스템은 IP주소별질의량을제어하는데, 일반적인캐시 DNS의경우정해진기간이경과하는경우 DNS 질의를요청하므로수시로 DNS 질의를요청하면일단요청하는대상시스템의문제점이있다고판단가능하며, 일시적인 DNS 질의폭주에대해서는정책기반으로임계값을설정할수있다. 또한, 문제점이있다고판단되는 DNS 질의요청서버는 Black-List 로정상적인요청을하는대상서버는 White-List로관리하여서비스를제공하도록할수있다.

93 ( 그림 6-14) 개방형모델에서의 DNS DDoS 대응요구사항 분석 / 정책 DB는보안시스템및정책시스템, DNS로부터 DNS 질의에대한이상현상을분석하고조치하기위하여정보들을수집하여분석한다. 보안시스템및정책시스템으로부터는이상현상을보이는패킷및통계정보를가져오며, DNS로부터는 DNS 트랙잭션에대한정보들을로그로가져와 OPCode기반으로분류하고해당코드의정보가갖는이상형태를분석한다, 분석결과해당 DNS 질의의문제점이발견되면, 해당질의요청시스템에대하여 Black-list 관리및정책적용이가능하도록정책시스템을업데이트한다. ( 그림 6-15) 는개방형모델을적용한전반적인 DNS 처리절차를보여주고있다. 일반적으로알려진절차에의거하여, DNS 질의를수행하게되며, 1,2차 DNS가응답실패를하게되면, Anycast 기반으로근접한대피소 DNS로 DNS 질의를라우팅기반으로전달한다. 이경우, 고대역의 DNS DDoS 공격을예상하여, 대형 DNS 사업자서버인경우에는우선적으로처리하여대다수의인터넷서비스를우선적으로보장하고, 그렇지않은미확인된 DNS 질의요청시스템은일반적인트래픽으로처리되게

94 제어하도록한다. 이렇게함으로써대역폭을초과하는 DNS DDoS 트래픽에대하여도최소한 DNS 서비스가가능하게되며, 링크를초과하는트래픽에대해서는네트워크상에서랜덤필터링이되는효과가있다. 그이후, 대피소보안시스템들을통하여 DNS 질의패킷에대한보안성검토및정책검토를수행하여비 [ 표 6-1] 개방형과은닉형서비스모델비교정상또는 DoS형공격, 정책기반위반패킷들에대해서는사전필터링을수행하고대피소 DNS로질의를요청하고대피소 DNS는질의결과로응답하게된다. ( 그림 6-15) 개방형모델에서의전체처리절차 2. 은닉형 (Proxy 기반 ) 서비스모델 은닉형서비스모델은호스팅업체와대피소의 DNS 를 Zone 동기화 하고, cctld 에 1,2,3 차에대한 NS 정보를제공하고, 대피소는부하분산 차원에서 AP 를 ISP 망에두고 Anycast 를적용하는방법이다. 이서비스

95 모델은 DNS가네트워크상에노출되지않고, AP만을노출시키기에 DNS 서버에대한안정적인운용이가능하다. 여기서 AP는 DNS 응용 Proxy로써 DNS 서비스및정책분석을위한호스트가 DNS 서비스를접속하기위한서버이다. AP는 DNS 서비스를위하여 DNS 서버의등록및감시를통하여 DNS 관리및분산처리가가능하도록구성되어있다. 아울러, AP는대피소 DNS와터널링을통해최적의 DNS 서비스를제공하도록할수있다. AP는호스트들의 DNS 서비스요청을수신하는최전단의서버로부하분산을위하여 Anycast로동작되며, 수신된 DNS 패킷들에대한검사를수행하여정상적이라고판단되는패킷들에대하여대피소 DNS와통신을통하여 DNS 서비스를제공하게되며, White-List/Black-List 정책적용을통하여대피소 DNS로전달되는양호한 DNS 패킷만을처리하도록하는기능을갖추고있다. 대피소 DNS와는주기적인 Health Check를통하여 DNS의장애및부하처리능력상태등을관리하는 SLB와같은부하 ( 그림 6-16) 은닉형서비스구성도

96 분산의효과를제공한다. Zone 동기화는앞절에서설명한개방형서비스모델과같다. 본서비스모델을적용하기위해서사업자구간에는 AP를지역적으로분산하여, AP를 Anycast 방식으로동작되도록하여야한다. Anycast로 AP로전달되는 DNS 패킷들은캐시로가장하여접근하는악의의호스트들을가급적분리하기위하여 ISP 캐시로부터의 DNS 질의에대해서는 QoS 정책을적용하여우선처리가가능하도록함으로써, 선의로이용하는 DNS 서비스에대한보호방안을강구할수있다. 아울러, AP와대피소 DNS와는정상적인 DNS 패킷만이접속될수있도록하기위하여터널링을통한연동이되도록구성한다. AP는입력되는 DNS 패킷들에대한정상적질의유무를판단하는기능을갖고있으며, 비정상이라고판단되는패킷들을방어, 차단하는메커니즘을적용한다. 대피소구간은정상적인 DNS 질의패킷들만이처리되기에간단한보안시스템구축으로도충분한서비스보호가가능하다. 아울러, 대피소구간에는분석정책 DB를구축하여 AP 및대피소 DNS로부터다양한이상징후패킷들을수집분석하여공격사전차단및완화를위한 DDoS 방어체계를구축하도록한다. ( 그림 6-17) 은닉형서비스구성에따른구간별역할

97 ( 그림 6-18) 은 DNS 서비스절차를보여주고있다. 개방형모델과같이, 호스트가 cctld로 a.co.kr에대한주소를요청하면, 미리등록되어있는 1,2,3차 NS 정보를호스트에제공한다. 이경우, 대피소 DNS 주소대신에 AP 주소를이용한다. 제공된 NS를기반으로호스트는우선적으로 1차 DNS에 IP주소정보를요청하게되고, 응답에실패를하게되면 2 차 DNS로 IP주소정보를요청한다. 1,2차 DNS로부터주소응답에실패를할경우, AP 주소로 DNS 질의를보내게된다. AP는정상적인 DNS 질의인지를확인하고정상적이라고판단되면, 대피소 DNS와연결된터널링을이용하여 DNS 질의결과를요청한다. 대피소 DNS 에대한결과, 대피소 DNS에서 IP 주소정보를응답하게된다. 대피소 DNS는해당질의에대한응답으로도메인네임에대한 IP주소로응답하며, AP는응답패킷에대하여호스트로전달하게된다. 이과정에서 AP는대피소 DNS 상태에따라, 대피소 DNS를선택하게된다. 대피소 DNS와 AP간에는연결대역폭이그리크지않아도가능할것이다. ( 그림 6-18) 은닉형모델에서의동작과정

98 이러한모델은 AP가 DNS 서비스의최전단에위치하고, DNS는선택적으로활용할수있는장점이있기에 DNS의확장변경이용이할뿐아니라, 호스팅업체와협력하여, 호스팅 DNS 서버들을 AP로수용하여 AP를중심으로부하분산을하는것도가능하다. 그러나호스팅업체를수용하기위해서는호스팅업체의운영정책과연계하여사전협력방안을강구할필요가있다. ( 그림 6-19) 는은닉형기반의대피소 DNS 구축시 DDoS 공격에대한사전대응및대규모공격시 DDoS 분석및조치를위한각시스템에대한요구사항이다. 그림에서보는바와같이, 사업자구간에는 AP를구축하여 Anycast 적용을한다. AP는대피소 DNS로의질의패킷에대한전반적인보안시스템이구축하여, 호스트에서발생하는이상패킷들에대한차단및 DDoS 공격의심이되는패킷들에대한수집및분석서버로부터의명령에의하여공격징후및공격형패킷들에대한차단정책을적용하게된다. 또한, 대피소 DNS와는내부터널링기법 (GRE 또는 NAT) 을이용하여대피소 DNS가외부에노출되도록하지않고, 대피소 DNS의처리능력등을감안하여유입되는 DNS 트래픽에대한부하분산처리 ( 그림 6-19) 은닉형모델에서의 DNS DDoS 대응요구사항

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

제20회_해킹방지워크샵_(이재석)

제20회_해킹방지워크샵_(이재석) IoT DDoS DNS (jaeseog@sherpain.net) (www.sherpain.net) DDoS DNS DDoS / DDoS(Distributed DoS)? B Asia Broadband B Bots connect to a C&C to create an overlay network (botnet) C&C Provider JP Corp. Bye Bye!

More information

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770> DDoS 대응장비보안기능요구사항 2010. 1 IT 보안인증사무국 목차 1. 소개 1 1.1 참고 1 1.2 목적및범위 1 1.3 문서구조 2 2. DDoS 공격유형및대응기술 3 2.1 DDoS 공격유형 3 2.2 DDoS 대응장비구성방식 6 3. DDoS 공격대응을위한보안기능 7 4. DDoS 대응장비시험방법 8 1. 1.1 소개 참조 본요구사항의식별정보는다음과같다.

More information

Microsoft Word - NAT_1_.doc

Microsoft Word - NAT_1_.doc NAT(Network Address Translation) 1. NAT 개요 1 패킷의 IP 헤더의수신지주소, 발신지주소또는그주소를다른주소로변경하는과정 2 NAT기능을갖는장치를 NAT-BOX라함 ( 시스코라우터, 유닉스시스템, 윈도우의호스트혹은몇개의다른시스템일수있기때문에이렇게지칭하기도함 ) 3 NAT 기능을갖는장치는일반적으로스텁도메인 (Stub-domain)

More information

#WI DNS DDoS 공격악성코드분석

#WI DNS DDoS 공격악성코드분석 #WI-13-025 2013-07-19 내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음

More information

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 팀장나병윤!dewymoon@pgpnet.com 주요내용 시스템모니터링! 패킷크기와장비의 CPU 및 Memory 사용량! SNMP를장비의상태관찰 비정상적인트래픽모니터링! Packet 분석기의다양한트래픽모니터링도구를이용한비정상적인트래픽관찰!

More information

Cloud Friendly System Architecture

Cloud Friendly System Architecture -Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture

More information

DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진

DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진 DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진 목차 1. 증상 2. DoS 기술의방법과대응 - Ping of death - SYN Flooding - LAND Attack - SMURF Attack 3. DDoS 공격의예방과대응 서비스거부공격 (DoS, Denial

More information

슬라이드 1

슬라이드 1 TCPdump 사용법 Neworks, Inc. (Tel) 070-7101-9382 (Fax) 02-2109-6675 ech@pumpkinne.com hp://www.pumpkinne.co.kr TCPDUMP Tcpdump 옵션 ARP 정보 ICMP 정보 ARP + ICMP 정보 IP 대역별정보 Source 및 Desinaion 대역별정보 Syn 과 syn-ack

More information

[Brochure] KOR_TunA

[Brochure] KOR_TunA LG CNS LG CNS APM (TunA) LG CNS APM (TunA) 어플리케이션의 성능 개선을 위한 직관적이고 심플한 APM 솔루션 APM 이란? Application Performance Management 란? 사용자 관점 그리고 비즈니스 관점에서 실제 서비스되고 있는 어플리케이션의 성능 관리 체계입니다. 이를 위해서는 신속한 장애 지점 파악 /

More information

TGDPX white paper

TGDPX white paper White Paper DDoS 공격 대응의 새로운 패러다임 AhnLab TrusGuard DPX Revision Version: AhnLab TrusGuard DPX White Paper ver. 1.0 Release Date: April, 2010 AhnLab, Inc. 6th Fl., CCMM Bldg. 12 Yeouido-dong, Yeongdeungpo-gu,

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

KISA-GD

KISA-GD KISA-GD-2011-0002 2011.9 1) RD(Recursive Desired) 플래그 : 리커시브네임서버로하여금재귀적 (recursive) 질의 ( 항목 1.3. 참고 ) 요청을표시함. RD 플레그값이 0 이면반복적 (iterative) 질의를요청 2) AA 플래그 : Authoritative Answer 의약자로써, 네임서버가해당응답데이터를자신이보유하고있는지유무를표시

More information

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5

More information

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt L4-7 Switch 기본교육자료 Pumpkin Networks. Inc. http://www.pumpkinnet.co.kr (Tel) 02-3280-9380 (Fax) 02-3280-9382 info@pumpkinnet.co.kr 기본개념 L4/L7 Switch 란? -2- 기본개념 - Switching & Routing Switching & Routing

More information

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1 IP 심화 º 각 P 의게이트웨이는해당네트워크의마지막주소를사용한다. - P1 (210.220.10.1/26) 의게이트웨이 (5의 Fa0/0) : 210.220.10.63 /26 = 255.255.255.192 호스트비트수 : 32-26 = 6 비트 => = 64 그러므로 P1의 IP 210.220.10.1 중서브넷마스크에의거 26비트는변함이없고, 나머지 6비트가호스트비트로변하므로

More information

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 (https://www.kisarbl.or.kr) < 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10 Ⅰ. 개요 실시간스팸차단리스트 (RBL) 는메일서버를운영하는누구나손쉽게효과적으로스팸수신을차단하는데이용할수있도록한국인터넷진흥원 (KISA)

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.

More information

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2 SDN DDoS (whchoi@cisco.com) Cisco Systems Korea 2008 Cisco Systems, Inc. All rights reserved. 1 Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2 Cisco SDN 3.0

More information

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드] 정보보호 Scanning (1) 목차 Ⅳ. 스캐닝 (Scanning) 1. 활성화된호스트식별 ping 침투테스트범위에있는 IP 주소만목록화 현재동작중인시스템확인 Ping - ICMP(Internet Control messaging Protocol) 패킷을사용 - echo request, echo reply 패킷 - target 시스템이 off상태이거나, ICMP패킷을차단하는경우

More information

5th-KOR-SANGFOR NGAF(CC)

5th-KOR-SANGFOR NGAF(CC) NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는

More information

개요 Windows 클라이언트와서버를위한이름풀이 (Name Resolution) DNS 서버설치와관리 DNS 영역 (Zones) 관리

개요 Windows 클라이언트와서버를위한이름풀이 (Name Resolution) DNS 서버설치와관리 DNS 영역 (Zones) 관리 Module 7 DNS 구현 개요 Windows 클라이언트와서버를위한이름풀이 (Name Resolution) DNS 서버설치와관리 DNS 영역 (Zones) 관리 Lesson 1: Windows 클라이언트와서버를위한이름풀이 (Name Resolution) 컴퓨터이름이란? DNS 란? DNS 영역과레코드 인터넷 DNS 이름이풀이되는방법 Link-Local Multicast

More information

개요 IPv6 개요 IPv6 주소 IPv4와공존 IPv6 전환기술 (Transition Technologies)

개요 IPv6 개요 IPv6 주소 IPv4와공존 IPv6 전환기술 (Transition Technologies) Module 8 IPv6 구현 개요 IPv6 개요 IPv6 주소 IPv4와공존 IPv6 전환기술 (Transition Technologies) Lesson 1: IPv6 개요 IPv6 의이점 IPv4 와 IPv6 의차이점 IPv6 주소공간 IPv6 의이점 IPv6 의이점 : 큰주소공간 계층구조적주소와라우팅인프라 Stateless 와 stateful 주소구성

More information

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드] Catalyst Switch Infrastructure Protection Cisco Systems Korea SE 이충용 (choolee@cisco.com) Overview DoS (Denial of Service) 공격대상 - Server Resource - Network Resource - Network devices (Routers, Firewalls

More information

소프트웨어 융합 개론

소프트웨어 융합 개론 소프트웨어융합개론 의개념 컴퓨터, 즉컴퓨팅기능을가진시스템들이물리적인매체로서로연결되어데이터를교환하는시스템들의모임 단말시스템 (end system), 중개시스템 (intermediate system) ISP (Internet Service Provider) 개인이나기업체에게인터넷접속서비스를제공하는회사 Internet: a network of networks 단말네트워크와코아네트워크

More information

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드] 정보보호 Scanning 목차 Ⅳ. 스캐닝 (Scanning) 1. 활성화된호스트식별 ping 침투테스트범위에있는 IP주소만목록화 현재동작중인시스템확인 ping Echo request 메시지를강제종료전까지계속전송 Echo request 메시지를 4 개전송후, 자동으로종료 Ping - ICMP(Internet Control messaging Protocol)

More information

ìœ€íŁ´IP( _0219).xlsx

ìœ€íŁ´IP( _0219).xlsx 차단 IP 국적 공격유형 목적지포트 IPS 룰 180.97.215.45 중국 서비스취약점공격 TCP/5555 (0001)SYN Port Scan 222.186.42.248 중국 서비스취약점공격 TCP/80 (0001)SYN Port Scan 104.236.178.166 미국 웹해킹 TCP/80 (5010)HEAD / HTTP (Http server buffer

More information

[QoS 강좌] QoS에서의 혼잡 회피 적용과 이해 ②

[QoS 강좌] QoS에서의 혼잡 회피 적용과 이해 ② [QoS 강좌 ] QoS 에서의혼잡회피적용과이해 2 지난 4 번의강좌를통해 QoS 의전체적인그림을그려봤다. 이제부터는세부적인튜닝으로들어가 QoS 혼잡예방을 위한다양한메커니즘에대해알아보자. 이번호에는 TCP 프로토콜의혼잡제어메커니즘의작동방법과테일드롭시 어떤문제점이있는지, QoS 에서는어떻게적용하는지살펴볼것이다. 특히이론적으로중요한 TCP 혼잡제어 메커니즘, 글로벌싱크로나이제이션,

More information

2009년 상반기 사업계획

2009년 상반기 사업계획 네트워크계층프로토콜 쉽게배우는데이터통신과컴퓨터네트워크 학습목표 IPv6의필요성과헤더구조를이해한다. 이동 IP 프로토콜의터널링원리를이해한다. ARP/RARP의필요성을이해한다. ICMP의헤더와제어메시지를이해한다. IGMP의헤더와멀티캐스트그룹관리방식을이해한다. 2/27 1 절. IPv6 주소공간확장 IPv4의 32 비트에서 128 비트로확장 최대 2 128 개의호스트를지원

More information

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트워크주소와 브로드캐스트주소를설명할수있다. 학습내용 1 : IP 헤더필드구성 1. Network Layer Fields 2. IP 헤더필드의구성 1)

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 03 장 도메인네임시스템과주소 패밀리 (IPv4-IPv6 서비스 ) 1 목차 제 3 장도메인네임시스템과주소패밀리 3.1 도메인네임주소를숫자주소로매핑하기 3.2 IP 버전에무관한주소-범용코드의작성 3.3 숫자주소에서도메인네임주소획득하기 2 getaddrinfo() 를활용한주소 범용 (Generic) 코드 주소범용 (Generic) 코드란? 주소버전

More information

bn2019_2

bn2019_2 arp -a Packet Logging/Editing Decode Buffer Capture Driver Logging: permanent storage of packets for offline analysis Decode: packets must be decoded to human readable form. Buffer: packets must temporarily

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

<31305FBEC6C0CCC5DB2E687770>

<31305FBEC6C0CCC5DB2E687770> 1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다.

More information

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN Enterprise Cloud Networking CDN (Content Delivery Network) 전 세계에 배치된 콘텐츠 서버를 통해 빠른 전송을 지원하는 서비스 전 세계에 전진 배치된 CDN 서버를 통해 사용자가 요청한 콘텐츠를 캐싱하여

More information

Network seminar.key

Network seminar.key Intro to Network .. 2 4 ( ) ( ). ?!? ~! This is ~ ( ) /,,,???? TCP/IP Application Layer Transfer Layer Internet Layer Data Link Layer Physical Layer OSI 7 TCP/IP Application Layer Transfer Layer 3 4 Network

More information

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다 공유기사용환경에서 MNC-V100 환경설정하기 다음설명은 AnyGate GW-400A (Http://www.anygate.co.kr) 를사용하는네트워크환경에서 MNC-V100 을연결하여사용하는법을설명합니다. 공유기내부네트워크환경설정공유기를사용하는환경에서공유기의설정을아래그림과같이설정하시면 MNC-V100의설정을변경하지않아도모비캠과연결할수있습니다. ( 공유기의환경을변경하기어려운경우에는

More information

*****

***** Korea Internet & Security Agency 21 2 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료:한국인터넷진흥원 인터넷침해대응센터]를 명시하여 주시기 바랍니다. CONTENTS 1 2 2 2 3 3 4 5 5 6 6 7 9 1 12 12 13 13 14 16 18 2 21 22 22 34 37 38 1 212 Bot

More information

Microsoft PowerPoint - 권장 사양

Microsoft PowerPoint - 권장 사양 Autodesk 제품컴퓨터사양 PRONETSOFT.CO 박경현 1 AutoCAD 시스템사양 시스템요구사양 32 비트 AutoCAD 2009 를위한시스템요구사항 Intel Pentium 4 프로세서 2.2GHz 이상, 또는 Intel 또는 AMD 듀얼 코어프로세서 16GH 1.6GHz 이상 Microsoft Windows Vista, Windows XP Home

More information

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770> 웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 - 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다.

More information

제10장 트래핀스포트 및 응용 계층

제10장  트래핀스포트 및 응용 계층 제 9 장인터넷 한기준경북대학교컴퓨터공학과 kjhan@knu.ac.kr 제 8 장인터넷 1 목차 인터넷개요 인터넷의주소체계 ARP 및 RARP DNS (Domain Name System) DHCP (Dynamic Host Configuration Protocol) 2 인터넷이란 인터넷 (Internet) 정의 다양한네트워크종류와다양한컴퓨터가연결되어있는세계적인네트워크의네트워크

More information

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고

More information

PowerPoint Presentation

PowerPoint Presentation Infrastructure Protection 신성균 Presales SE, Infoblox Korea 2018-07-19 1 1 2018 Infoblox Inc. All Rights 2013 Infoblox Inc. All Reserved. Rights Reserved. Infrastructure Protection 우리가느끼는위협 Exploit 공격 DDoS

More information

운영체제실습_명령어

운영체제실습_명령어 운영체제실습 리눅스네트워크기본개념및설정 서 기옥 Contents 네트워크용어정의 IP 주소 네트워크기본명령어 네트워크관리명령어 네트워크설정파일 telnet 서버설정 네트워크용어정의 네트워크 (Network) : 전자적으로데이터를주고받기위한목적으로연결된 2 개이상의컴퓨터시스템 IP 주소와 Ethernet 주소 IP 주소 : 네트워크에연결된시스템을구분하는소프트웨어적인주소

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Chapter 08. 도메인과호스팅서비스 1. 도메인등록하기 2. 호스팅서비스로서버구축하기 3. 홈페이지구축하기 DNS의구조와동작원리를이해한다. 자신만의도메인을등록할수있다. 등록한도메인으로무료호스팅서버를구축할수있다. FTP 프로그램인파일질라를활용할수있다. 웹에디터인콤포저로간단한웹페이지를제작할수있다. 도메인을구매하고서버를구축한뒤간단한 HTML 프로그램을작성하여홈페이지를만들수있다

More information

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환 취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit 2012-07-19 RedAlert Team 안상환 목 차 1. 개요... 1 1.1. 취약점분석추진배경... 1 2. Simple Web Server 취약점... 2 2.1. Simple Web Server 취약점개요... 2 2.2. Simple

More information

INDEX 1. 개요 DNS 서버구축하기 DNS 구축에필요한프로그램설치 DNS 설정 호스트추가. (zone 파일생성 ) 상위기관에네임서버등록.( 네임호스트추가 ) 활용

INDEX 1. 개요 DNS 서버구축하기 DNS 구축에필요한프로그램설치 DNS 설정 호스트추가. (zone 파일생성 ) 상위기관에네임서버등록.( 네임호스트추가 ) 활용 Linux Server - DNS - Copyright @ 2012 Good Internet 소속 IDC 실 E-mail tech@tongkni.co.kr - 1 - INDEX 1. 개요... 3 2. DNS 서버구축하기.... 4 2.1 DNS 구축에필요한프로그램설치.... 4 2.2 DNS 설정.... 5 2.3 호스트추가. (zone 파일생성 )...

More information

Windows Server 2012

Windows Server  2012 Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB

More information

Microsoft Word doc

Microsoft Word doc TCP/IP 구조 1. I.P 구조설명 2. ARP 구조설명 3. TCP 구조설명 4. UDT 구조설명 5. RIP 구조설명 6. BOOTP 구조설명 7. TFTP 구조설명 destination addr source addr type data CRC 6 6 2 46-1500 4 type 0X0800 IP datagram 2 46-1500 type 0X0806

More information

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for 메일서버등록제(SPF) 인증기능적용안내서 (Exchange 2003 - Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for Exchange 2016 년 6 월 - 1 - 목 차 I. 개요 1 1. SPF( 메일서버등록제)

More information

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 - Quick Network Setup Guide xdsl/cable Modem PC DVR ~3.., PC, DVR. Cable IP Cable/ADSL/ VDSL or 3 4 VIDEO OUT (SPOT) AUDIO IN VGA ALARM OUT COM ALARM IN RS-485 3 4 G G + 3 CONSOLE NETWORK DC V VIDEO IN VIDEO

More information

2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지

2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지 PX-8000 SYSTEM 8 x 8 Audio Matrix with Local Control 2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지역에

More information

Microsoft Word - release note-VRRP_Korean.doc

Microsoft Word - release note-VRRP_Korean.doc VRRP (Virtual Router Redundancy Protocol) 기능추가 Category S/W Release Version Date General 7.01 22 Dec. 2003 Function Description VRRP 는여러대의라우터를그룹으로묶어하나의가상 IP 어드레스를부여해마스터로지정된라우터장애시 VRRP 그룹내의백업라우터가마스터로자동전환되는프로토콜입니다.

More information

Ⅰ. 서론 FOCUS 우리는매일컴퓨터와스마트폰의웹브라우저를통해웹사이트를접속하여뉴스를보고필요한정보를검색하거나인터넷쇼핑과뱅킹등을하고있다. 이같이웹사이트를가기위해서우리는웹브라우저주소창에도메인이름 ( 예. kisa.or.kr) 을입력한다. 그렇게되면우리의눈앞에우리가원하는웹사이

Ⅰ. 서론 FOCUS 우리는매일컴퓨터와스마트폰의웹브라우저를통해웹사이트를접속하여뉴스를보고필요한정보를검색하거나인터넷쇼핑과뱅킹등을하고있다. 이같이웹사이트를가기위해서우리는웹브라우저주소창에도메인이름 ( 예. kisa.or.kr) 을입력한다. 그렇게되면우리의눈앞에우리가원하는웹사이 FOCUS FOCUS 1 인터넷이용의기반 DNS 의 이해와 DNS 보안 김도원 인터넷을이용하면서도인터넷이용의기반인도메인이름체계 ( 이하 DNS ) 1) 를알고이해하는사람은그리많지않을것이다. 그러나 DNS 는인터넷이용의첫관문과도같은, 중요한역할을한다. 따라서 DNS 에보안상취약점이있다면인터넷이용자가입을수있는피해는클것이다. 하지만 DNS 는악의적인해커에의해정보가위

More information

TCP.IP.ppt

TCP.IP.ppt TCP/IP TCP/IP TCP/IP TCP/IP TCP/IP Internet Protocol _ IP Address Internet Protocol _ Subnet Mask Internet Protocol _ ARP(Address Resolution Protocol) Internet Protocol _ RARP(Reverse Address Resolution

More information

NTP 서버보안가이드 침해사고분석단취약점점검팀 김정호선임연구원 ( ) 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다

NTP 서버보안가이드 침해사고분석단취약점점검팀 김정호선임연구원 ( ) 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다 NTP 서버보안가이드 침해사고분석단취약점점검팀 김정호선임연구원 ( jungho@kisa.or.kr ) 2015. 1. 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다 제 1 장개요 1 제 2 장 NTP 취약점 4 1. NTP 분산서비스거부취약점 (CVE : 2013-5211) 5 1) NTP Amplification

More information

슬라이드 1

슬라이드 1 네트워크포렌식실습 ICMP 패킷분석과 Ping 공격 목 차 ICMP 헤더와동작 ICMP 와이어샤크분석 IP와 MAC 주소분석 Dos 공격유형과대응방법 DDos 공격과공격시연 2 ICMP 헤더와동작 1) ICMP 란? 2) ICMP 위치 3) ICMP 캡슐화 4) ICMP 동작과정및확인 5) ICMP 헤더구조 6) ICMP 메시지형식및종류 ICMP 프로토콜 ICMP

More information

Microsoft PowerPoint - ch13.ppt

Microsoft PowerPoint - ch13.ppt chapter 13. 네트워크보안과 ACL 한빛미디어 -1- 학습목표 계층별네트워크보안이슈 시스코라우터의 ACL 시스코라우터의 ACL 설정 한빛미디어 -2- 계층별네트워크보안이슈 데이터링크계층보안 ARP 스푸핑 MAC 플러딩 한빛미디어 -3- 계층별네트워크보안이슈 방화벽 [ 그림 ] 방화벽구조 한빛미디어 -4- 계층별네트워크보안이슈 침입탐지시스템 (IDS)

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 B Type 가이드 가지고있는도메인사용 + 인증서구매대행절차 1. 신청하기. 네임서버변경 / 확인 - 네임서버변경 - 네임서버변경확인 3. 인증심사메일에회신하기 - 메일주소확인 - 메일주소변경 - 인증심사메일서명 4. Ver. 015.10.14 가지고있는도메인사용 + 인증서구매대행절차 도메인은가지고있으나인증서가없는경우소유한도메인주소로 를오픈하고인증서는 Qoo10

More information

6강.hwp

6강.hwp ----------------6강 정보통신과 인터넷(1)------------- **주요 키워드 ** (1) 인터넷 서비스 (2) 도메인네임, IP 주소 (3) 인터넷 익스플로러 (4) 정보검색 (5) 인터넷 용어 (1) 인터넷 서비스******************************* [08/4][08/2] 1. 다음 중 인터넷 서비스에 대한 설명으로

More information

index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D

index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D DoS, DDoS 1012 1705 사이버경찰학과 홍윤기 index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 Definition of DDOS (Distribute

More information

<C3E6B3B2B1B3C0B0313832C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

<C3E6B3B2B1B3C0B0313832C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466> 11-8140242-000001-08 2013-927 2013 182 2013 182 Contents 02 16 08 10 12 18 53 25 32 63 Summer 2 0 1 3 68 40 51 57 65 72 81 90 97 103 109 94 116 123 130 140 144 148 118 154 158 163 1 2 3 4 5 8 SUMMER

More information

암호내지2010.1.8

암호내지2010.1.8 Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀

More information

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail 8.13.4 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. sendmail, SPF

More information

Microsoft PowerPoint - 06-IPAddress [호환 모드]

Microsoft PowerPoint - 06-IPAddress [호환 모드] Chapter 06 IP Address IP Address Internet address IP 계층에서사용되는식별자 32 bit 2 진주소 The address space of IPv4 is 2 32 or 4,294,967,296 netid 와 hostid 로구분 인터넷에서호스트와라우터를유일하게구분 IP Address Structure 2-Layer Hierarchical

More information

제목 레이아웃

제목 레이아웃 웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya

More information

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우. 소프트웨어매뉴얼 윈도우드라이버 Rev. 3.03 SLP-TX220 / TX223 SLP-TX420 / TX423 SLP-TX400 / TX403 SLP-DX220 / DX223 SLP-DX420 / DX423 SLP-DL410 / DL413 SLP-T400 / T403 SLP-T400R / T403R SLP-D220 / D223 SLP-D420 / D423

More information

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. qmail, SPF 인증모듈설치

More information

RHEV 2.2 인증서 만료 확인 및 갱신

RHEV 2.2 인증서 만료 확인 및 갱신 2018/09/28 03:56 1/2 목차... 1 인증서 확인... 1 인증서 종류와 확인... 4 RHEVM CA... 5 FQDN 개인 인증서... 5 레드햇 인증서 - 코드 서명 인증서... 6 호스트 인증... 7 참고사항... 8 관련링크... 8 AllThatLinux! - http://allthatlinux.com/dokuwiki/ rhev_2.2_

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Traffic monitoring for security anomaly detection 바이러스연구실 최원혁 바이러스사례 (1) 2001.07 CodeRed 최초의패킷형바이러스. IIS 의버퍼오버플로어취약점을이용해서바이러스를메모리에상주후, 무작위로 PC 를선별버퍼오버플로어패킷을보내어취약점이존재할경우다시바이러스에감염되는과정을반복함 (2) 2001.08 CodeRed_II

More information

POSTECH DDoS 대응 매뉴얼

POSTECH DDoS 대응 매뉴얼 POSTECH DDoS 공격대응매뉴얼 학술정보처 정보기술팀 2 POSTECH DDoS 대응매뉴얼 POSTECH DDoS 대응매뉴얼 3 제 개정이력 연번일시제 개정비고 1 2015.12 제정 4 POSTECH DDoS 대응매뉴얼 POSTECH DDoS 대응매뉴얼 5 목차 Ⅰ. 개요... 7 1. 목적... 7 2. DDoS 공격정의... 7 Ⅱ. DDoS 공격대응체계...

More information

항목

항목 Cloud 컴퓨팅기반분산파일시스템개요 개발실 UPDATE : 2012. 11 18 INDEX 1. 가용성 2. 확장성 3. PrismFS 4. Q&A 2 가용성 3 Gmail 장애 2011년 2월 27일 34000명의 Gmail 사용자들이일어나보니메일, 주소록, 채팅기록등이사라진것을발견 2011년 2월 28일 스토리지소프트웨어업데이트를진행하는중 Bug로인해발생했다고공지

More information

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment

More information

OSI 참조 모델과 TCP/IP

OSI 참조 모델과 TCP/IP TCP/IP 프로토콜분석및네트워크프로그래밍 Chapter 1: OSI 참조모델과 TCP/IP 2003. 3. 1 프로토콜 (Protocol) 표준화된통신규약 장치간의정보를송수신하기위한협정 무전기의예 Over: 송신완료통지 Roger: 수신완료통지 제 1 장 OSI 참조모델과 TCP/IP 2 OSI 참조모델 목표 이기종컴퓨터간에도통신이가능한개방형시스템 상호접속모델제시

More information

발표순서 v 기술의배경 v 기술의구조와특징 v 기술의장, 단점 v 기타사항 v MOFI 적용방안 2 Data Communications Lab.

발표순서 v 기술의배경 v 기술의구조와특징 v 기술의장, 단점 v 기타사항 v MOFI 적용방안 2 Data Communications Lab. Tunneled Inter-Domain Routing (TIDR) 2011-04-18 김병철, 이재용 Data Communications Lab. 발표순서 v 기술의배경 v 기술의구조와특징 v 기술의장, 단점 v 기타사항 v MOFI 적용방안 2 Data Communications Lab. 기술의배경 v 추구하고자하는정책 q 현재 BGP 라우팅프로토콜은서브넷의위치와상관없이라우팅테이블

More information

Cisco FirePOWER 호환성 가이드

Cisco FirePOWER 호환성 가이드 Cisco 호환성가이드 Cisco 호환성 이문서에서는 Cisco 소프트웨어와하드웨어의호환성및요건을다룹니다. 추가 릴리스또는제품정보는다음을참조하십시오. 설명서로드맵 : http://www.cisco.com/c/en/us/td/docs/security/firesight/ roadmap/firesight-roadmap.html Cisco ASA 호환성가이드 : http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/

More information

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월 메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix 2.7.1 spf-filter 1.0 2016 년 6 월 목 차 I. 개요 1 1. SPF( 메일서버등록제) 란? 1 2. SPF 를이용한이메일인증절차 1 II. postfix,

More information

놀이동산미아찾기시스템

놀이동산미아찾기시스템 TinyOS를이용한 놀이동산미아찾기시스템 윤정호 (mo0o1234@nate.com) 김영익 (youngicks7@daum.net) 김동익 (dongikkim@naver.com) 1 목차 1. 프로젝트개요 2. 전체시스템구성도 3. Tool & Language 4. 데이터흐름도 5. Graphic User Interface 6. 개선해야할사항 2 프로젝트개요

More information

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc NTAS and FRAME BUILDER Install Guide NTAS and FRAME BUILDER Version 2.5 Copyright 2003 Ari System, Inc. All Rights reserved. NTAS and FRAME BUILDER are trademarks or registered trademarks of Ari System,

More information

SANsymphony-V

SANsymphony-V 국내대표적인구축사례 (KR) XXXX공사(공공) 2013년 12월 도입 센터 이전에 따른 스토리지가상화 통합 및 이기종통합 이기종 스토리지 (무중단이중하) 무중단 서비스 확보 24시간 운영 체계의 고가용 확보 스토리지 인프라의 유연한 구성 및 통합 환경 구축 업무서버 Unix 20대 업무서버 V 58대 CIe SSD(Fusion IO 3.2TB) ㅇㅇㅇㅇㅇㅇ

More information

2. 인터네트워킹 서로떨어져있는각각의수많은네트워크들을연결하여하나의네트워크처럼연결하여사용할수있도록해주는것 3. 인터네트워킹에필요한장비 1 리피터 (Repeater) - 데이터가전송되는동안케이블에서신호의손실인감쇄 (Attenuation) 현상이발생하는데, 리피터는감쇄되는신

2. 인터네트워킹 서로떨어져있는각각의수많은네트워크들을연결하여하나의네트워크처럼연결하여사용할수있도록해주는것 3. 인터네트워킹에필요한장비 1 리피터 (Repeater) - 데이터가전송되는동안케이블에서신호의손실인감쇄 (Attenuation) 현상이발생하는데, 리피터는감쇄되는신 1 주차 3 차시 TCP/IP 학습목표 1. TCP/IP 개요및인터네트워킹에필요한장비에대해설명할수있다. 2. TCP/IP 프로토콜계층구조를구분하고계층구조에서의전송을설명할수있다. 학습내용 1 : TCP/ IP 개요및인터네트워킹 1. TCP/IP 개요 - 1960 년대중반에연구기관들의대형컴퓨터들은독립실행형장비였음 - 미국방성의 ARPA(Advanced Research

More information

Windows Server NTP 설정가이드 Author 이종하 (lovemind.tistory.com) 1

Windows Server NTP 설정가이드 Author 이종하 (lovemind.tistory.com) 1 Windows Server NTP 설정가이드 Author 이종하 (lovemind.tistory.com) 1 Contents 목적... 5 NTP 란?... 5 윈도우에는... 5 시스템환경... 6 서버명및 IP 주소... 6 내부 NTP 서버... 7 외부 NTP 서버와시간동기화... 7 실행서버... 7 시나리오... 7 작업... 7 NTP 서비스제공을위한구성확인...

More information

일반적인 네트워크의 구성은 다음과 같다

일반적인 네트워크의 구성은 다음과 같다 W5200 Errata Sheet Document History Ver 1.0.0 (Feb. 23, 2012) First release (erratum 1) Ver 1.0.1 (Mar. 28, 2012) Add a solution for erratum 1, 2 Ver 1.0.2 (Apr. 03, 2012) Add a solution for erratum 3

More information

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS ( PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (http://ddns.hanwha-security.com) Step 1~5. Step, PC, DVR Step 1. Cable Step

More information

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자 SQL Developer Connect to TimesTen 유니원아이앤씨 DB 팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 2010-07-28 작성자 김학준 최종수정일 2010-07-28 문서번호 20100728_01_khj 재개정이력 일자내용수정인버전

More information

슬라이드 제목 없음

슬라이드 제목 없음 2006-11-02 경북대학교컴퓨터공학과 1 제 8 장인터넷프로토콜 : IP 데이터그램 단편화 검사합 옵션 IP 설계 IP 프로토콜 2006-11-02 경북대학교컴퓨터공학과 2 2006-11-02 경북대학교컴퓨터공학과 3 네트워크계층프로토콜 IP (Internet Protocol) TCP/UDP 세그먼트를받아서패킷별로경로선택 ICMP (Internet Control

More information

<4D F736F F D20C3D6C1BE202D D E7420B1E2B9DD20B4DCB8BB20C8A3BDBAC6AE20BFEEBFB5C3BCC1A620C0DAB5BF20C6C7BAB02E646F63>

<4D F736F F D20C3D6C1BE202D D E7420B1E2B9DD20B4DCB8BB20C8A3BDBAC6AE20BFEEBFB5C3BCC1A620C0DAB5BF20C6C7BAB02E646F63> HTTP User-Agent 기반단말호스트운영체제자동판별 허민 *, 이현신, 김명섭고려대학교컴퓨터정보학과 {grrrhm, hyunshin-lee, tmskim}@korea.ac.kr 요 약 인터넷을접속하는단말의종류가다양해지면서인터넷접속단말의운영체제정보는트래픽분석에유용하게활용될수있다. 해당단말의운영체제정보를판별하기위한방법으로수동형방법과능동형방법이있으며, 이중수동형방법이탐지속도가빨라실시간네트워크트래픽분석에적합하다.

More information

DBMS & SQL Server Installation Database Laboratory

DBMS & SQL Server Installation Database Laboratory DBMS & 조교 _ 최윤영 } 데이터베이스연구실 (1314 호 ) } 문의사항은 cyy@hallym.ac.kr } 과제제출은 dbcyy1@gmail.com } 수업공지사항및자료는모두홈페이지에서확인 } dblab.hallym.ac.kr } 홈페이지 ID: 학번 } 홈페이지 PW:s123 2 차례 } } 설치전점검사항 } 설치단계별설명 3 Hallym Univ.

More information

PowerPoint Template

PowerPoint Template 설치및실행방법 Jaewoo Shim Jun. 4. 2018 Contents SQL 인젝션이란 WebGoat 설치방법 실습 과제 2 SQL 인젝션이란 데이터베이스와연동된웹서버에입력값을전달시악의적동작을수행하는쿼리문을삽입하여공격을수행 SELECT * FROM users WHERE id= $_POST[ id ] AND pw= $_POST[ pw ] Internet

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 www.vmon.vsystems.co.kr Vmon 소개자료 Ⅰ. EMS 란? Ⅱ. Vmon 소개 Ⅲ. Vmon 의도입효과 Ⅰ. EMS 란? - EMS 의정의 - EMS 의필요성 : IT 환경의변화 Ⅱ. Vmon 소개 - Vmon 개요 - Vmon 제품구성 - Vmon Solutions - Vmon Services Ⅲ. Vmon 의도입효과 Ⅰ. EMS 란?

More information

목차 개요 3 섹션 1: 해결 과제 4 APT(지능형 지속 위협): 이전과 다른 위협 섹션 2: 기회 7 심층 방어 섹션 3: 이점 14 위험 감소 섹션 4: 결론 14 섹션 5: 참조 자료 15 섹션 6: 저자 소개 16 2

목차 개요 3 섹션 1: 해결 과제 4 APT(지능형 지속 위협): 이전과 다른 위협 섹션 2: 기회 7 심층 방어 섹션 3: 이점 14 위험 감소 섹션 4: 결론 14 섹션 5: 참조 자료 15 섹션 6: 저자 소개 16 2 백서 표적 공격 2012년 7월 APT(지능형 지속 위협) 차단을 위한 전면적인 철저한 방어 Russell Miller CA Technologies 보안 관리 사업부 agility made possible 목차 개요 3 섹션 1: 해결 과제 4 APT(지능형 지속 위협): 이전과 다른 위협 섹션 2: 기회 7 심층 방어 섹션 3: 이점 14 위험 감소 섹션

More information

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù 21 5 Korea Internet & Security Agency CONTENTS 2 3 3 3 4 4 5 6 6 7 7 8 11 12 14 14 15 15 16 18 2 22 23 24 24 32 35 36 2 215 Bot 1,7511,315 33.2% 1,621,468 27.7% 285 431 33.9% 295 12 6.9% 44 396 2.% 132

More information

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8 차단 IP 국적 공격유형 목적지포트 IPS 룰 222.119.190.175 한국 서비스취약점공격 TCP/110 #14713(POP3 Login Brute Force Attempt-2/3(count 30 seconds 10)) 52.233.160.51 네덜란드 웹해킹 TCP/80 Apache Struts Jakarta Multipart Parser Remote

More information

Sequences with Low Correlation

Sequences with Low Correlation 레일리페이딩채널에서의 DPC 부호의성능분석 * 김준성, * 신민호, * 송홍엽 00 년 7 월 1 일 * 연세대학교전기전자공학과부호및정보이론연구실 발표순서 서론 복호화방법 R-BP 알고리즘 UMP-BP 알고리즘 Normalied-BP 알고리즘 무상관레일리페이딩채널에서의표준화인수 모의실험결과및고찰 결론 Codig ad Iformatio Theory ab /15

More information

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc 분석보고서 이동현 (dhclub20@naver.com) SK Infosec Co., Inc MSS 사업본부침해대응팀모의해킹파트 Table of Contents 1. 개요... 3 1.1. 배경... 3 1.2. 목적... 3 2. 공격분석... 4 2.1. Cookie Injection... 4 2.2. Cookie Injection의발생원인... 5 2.3.

More information