제출문 한국인터넷진흥원귀하 본보고서를 DNS 대상 DDoS 공격방어를위한대피소모델연 구 의최종연구개발결과보고서로제출합니다 년 7 월 27 일 주관기관 : 한국인터넷진흥원참여연구원 : 노명선 ( 침해사고대응단, 단장 ) 전길수 ( 해킹대응팀, 팀장 ) 박용규

Transcription

1 최종연구보고서 KISA-WP DNS대상 DDoS 공격방어를위한대피소모델연구 A Study on Emergency Refuge Model for Mitigating DDoS Attack against DNS 수탁기관 : ( 주 ) 올레이어

2 제출문 한국인터넷진흥원귀하 본보고서를 DNS 대상 DDoS 공격방어를위한대피소모델연 구 의최종연구개발결과보고서로제출합니다 년 7 월 27 일 주관기관 : 한국인터넷진흥원참여연구원 : 노명선 ( 침해사고대응단, 단장 ) 전길수 ( 해킹대응팀, 팀장 ) 박용규 ( 해킹대응팀, 책임연구원 ) 박영욱 ( 해킹대응팀, 주임연구원 ) 수탁기관 : ( 주 ) 올레이어연구책임자 : 이병희 ( 부서, 책임연구원 ) 참여연구원 : 손경수 ( 부서, 책임연구원 ) 최종호 ( 부서, 책임연구원 ) 이상욱 ( 부서, 선임연구원 )

3 요약문 1. DNS 대상 DDoS 공격방어를위한대피소모델연구 2. 연구개발의목적및중요성 DNS는전세계인터넷서비스의주소를제공하는기능을하는핵심인프라시스템으로, 계층적구조로구성되어있으며서비스등록및중개를위하여 DNS 서버들이전세계적으로분산관리되고있다. 이러한분산화및개방성으로인하여 DNS 서버는언제든지 DDoS 공격의주요대상이되고있으며, DNS DDoS 공격에의한서비스장애는인터넷서비스의불안을초래하기도하고사회경제적으로도그파급효과가매우큰특징을갖고있다. 일반적으로대형 DNS 서비스운영업체들은이러한 DNS의취약점을보완하고자체서비스보호를위하여비정상적트래픽차단시스템및방어시스템, 트래픽분산을통한서비스장애를최소화하기위한시스템들을구축하고있지만, 중소규모의 DNS 서비스운영업체들은이러한 DDoS 공격을방어할만한시설을구축하기힘들뿐만아니라, 자체 DNS 관리전문인력도확보하기어려워, DNS DDoS 공격에취약한구조로서비스를제공하고있는실정이다. 본연구는이러한 DNS 서비스운영업체들의공격취약성을해결하기위한 DNS 서비스대피소모델을연구함으로써, DNS DDoS 공격에대한사전예방을위한분석을통한 DDoS 공격의확산방지, DNS 서비스운

4 영업체의서버장애시에도지속적인서비스가가능하도록함으로써무중단서비스가가능하도록하고, DDoS 발생시에도즉각적인방어체계를구축하기위한모델들을제시하여전반적인 DNS 서비스품질향상을도모할뿐만아니라인터넷이용고객등을대상으로한 DNS 서비스안정화에기여하고자한다. 3. 연구개발의내용및범위 본연구의주요내용은첫째, DNS대상 DDoS에대한현황및동향을분석, 둘째, DNS서비스를제공하는업체들의 DNS DDoS 공격사례분석, 셋째, DDoS 공격을완화시킬수있는방안들의현황들을분석, 넷째, DNS DDoS 공격을완화시킬수있는방법및취약한 DNS 서비스제공업체에대한 DNS 대피소를활용하는방안을도출하는것으로한다. 4. 연구결과 ㅇ DNS 서비스에대한전반적인이해를통하여 DNS 서비스제공시공격취약성및파급효과분석결과ㅇ DNS 서비스제공현황분석및 DDoS 공격사례분석결과ㅇ DNS DDoS 공격방어를위한 DNS 트래픽분산방법연구결과ㅇ DNS 대피소모델정립을위한기존분산방어체계의적용문제점분석결과ㅇ DNS 대피소모델에대한구체화및사업화적용가능성 5. 활용에대한건의 본연구는주요 DDoS 공격대상인 DNS 서버들에대한 DNS 서비스가 용성확대및안정적인보호를위하여호스팅업체 DNS 를보호하기위 한대피소운영모델을제안하는것으로써, 본대피소모델을통하여호

5 스팅업체가제공하는 DNS 서비스에대한보호및대국민인터넷서비 스를보호할것으로기대된다. 특히, DNS 서비스를제공하는영세업체 들에게도활용할수있는기회가생길것으로기대된다. 6. 기대효과 DNS 대피소모델은인터넷서비스주소검색인프라로써역할을수행하는 DNS의 DDoS 취약성및장애한계를극복하기위하여대피소와공동협력하여운영하는방안을제시함으로써, DNS 서비스에대한 DDoS 방어능력확대및서비스장애에따른사회 / 경제적피해를최소화함으로써인터넷서비스안정성을향상시키는계기가될것으로기대한다. 특히, DNS 구조및네트워크기능을활용하여네트워크대역폭고갈공격, DNS 서버응용계층형공격및 APT와같은지능화된 DDoS 공격등에대하여 DNS 대피소를통하여공격에대한사전징후를탐지하여적극적인사전방어체계를구축하고, DDoS 공격확산방지에대한메커니즘을제시함으로써보다신뢰성을향상시킬것으로기대한다.

6 목차 제 1 장연구개요 1 제 1 절개요 1 제 2 절추진배경및필요성 1 제 3 절수행목적및범위 2 제 4 절기대효과 3 제 2 장 DNS 서비스개요 5 제 1 절네임스페이스 5 제 2 절 DNS 처리절차 7 제 3 절 DNS 구조 7 제 4 절 Zone 파일 12 제 5 절 DNS 소프트웨어들 13 제 6 절 DNS 서비스특징 14 제 7 절 DNS 서비스취약성 15 제 3 장 DNS 서비스제공 18 제 1 절도메인네임분포현황 18 제 2 절 DNS 서비스제공장비들 20 제 4 장 DDoS 공격및현황분석 25 제 1 절 DDoS 공격유형 28 제 2 절 DDoS 공격현황 29 제 3 절 DNS DDoS 공격 38 제 5 장 DDoS 공격방어를위한서비스모델 46 제 1 절전통적공격방어 46 제 2 절 Anycast기반부하분산 48 제 3 절 Netflow+DPI 적용 51 제 4 절 GSLB기반부하분산 53 제 5 절클라우드기반부하분산 55

7 제 6 장 DNS 대피소모델 58 제 1 절기존부하분산방안의문제점분석 59 제 2 절대피소모델적용을위한고려사항 64 제 3 절대피소구축운영모델 73 제 4 절대피소 DNS의부하분산방안 77 제 7 장결론 92 참고문헌 94

8 그림목차 ( 그림 2-1) 도메인네임체계 6 ( 그림 2-2) DNS 질의절차 8 ( 그림 2-3) 도메인네임스페이스와리소스레코드 10 ( 그림 3-1) DNS 소프트웨어패키지구성요소 20 ( 그림 3-2) 일반 DNS 서버구축형태 22 ( 그림 4-1) DDoS 공격방법 26 ( 그림 4-2) DDoS 전파단계 27 ( 그림 4-3) DDoS 유포경로 28 ( 그림 4-4) DDoS 공격주요변화 30 ( 그림 4-5) 7.7. DDoS 공격분석 31 ( 그림 4-6) 3.4. DDoS 공격분석 31 ( 그림 4-7) 최근악성코드유형분석 32 ( 그림 4-8) 2012년 1분기 DDoS 공격분포 34 ( 그림 4-9) DDoS 공격유형변화비교 (2011년 1Q 대비 2012년 1Q) 35 ( 그림 4-10) DNS 캐시포이즈닝과정 40 ( 그림 4-11) DNS White Horses DDoS 공격 42 ( 그림 4-12) 응용계층 DDoS 공격목적지분포 44 ( 그림 4-13) 응용계층 DDoS 공격목적지분포 (Atlas 분석 ) 44 ( 그림 4-14) DNS 공격에의한 DNS 서버장애분포 (Arbor 분석 ) 45 ( 그림 5-1) DDoS 공격방어를계층적방어방법 46 ( 그림 5-3) 네트워크기반 Anycast 이용효과 50 ( 그림 5-4) DPI기반 DDoS 방어방법 52 ( 그림 5-5) GSLB를이용한 DDoS 방어방법 55 ( 그림 5-6) 클라우드기반 DDoS 방어방법 56

9 ( 그림 6-1) Anycast 방식적용 60 ( 그림 6-2) Netflow+DPI 방식적용 62 ( 그림 6-3) GSLB 방식적용 63 ( 그림 6-4) DNS 기능별및주요특징 66 ( 그림 6-5) NS의 Round_Robin 처리메커니즘 69 ( 그림 6-6) 대피소보안시스템주요구성 70 ( 그림 6-7) DNS 패킷이상징후수집및분석메커니즘 72 ( 그림 6-8) 대피소 DNS 운영모델 74 ( 그림 6-9) 개방형서비스모델구성 78 ( 그림 6-10) 은닉형서비스모델구성 78 ( 그림 6-11) 개방형서비스구성도 79 ( 그림 6-12) 개방형서비스구성에따른구간별역할 81 ( 그림 6-13) 개방형모델에서의동작과정 81 ( 그림 6-14) 개방형모델에서의 DNS DDoS 대응요구사항 82 ( 그림 6-15) 개방형모델에서의전체처리절차 84 ( 그림 6-16) 은닉형서비스구성도 85 ( 그림 6-17) 은닉형서비스구성에따른구간별역할 86 ( 그림 6-18) 은닉형모델에서의동작과정 87 ( 그림 6-19) 은닉형모델에서의 DNS DDoS 대응요구사항 88 ( 그림 6-20) 은닉형모델에서의전체처리절차 89

10 표목차 [ 표 2-1] DNS 레코드종류 11 [ 표 2-2] DNS소프트웨어종류 13 [ 표 2-3] DNS 보안이슈및해결방안 17 [ 표 3-1] 전세계도메인등록현황 18 [ 표 3-2] Kr 도메인현황 ( ) 19 [ 표 3-3] 네임서버호스트의숫자 ( ) 19 [ 표 3-4] DNS 쿼리분포 19 [ 표 3-5] DDI 마케팅스코프분석 24 [ 표 4-1] DDoS 공격유형 29 [ 표 4-2] 최근악성코드감염통계 33 [ 표 4-3] 최근 APT 공격현황 37 [ 표 5-1] DDoS 공격방어를위한방법들 48 [ 표 5-2] 네트워크기반 Anycast 방법에대한장점 50 [ 표 6-1] 개방형과은닉형서비스모델비교 91

11 제 장연구개요 제 1 절개요 위탁과제명 : DNS대상 DDoS 공격방어를위한대피소모델연구 계약기간 : 2012년 4월30일 ~ 2012년 7.29일 (3개월) 계약금액 : 일금삼천만원정 주관기관 : 한국인터넷진흥원 수행기관 : ( 주 ) 올레이어 주요내용 - DNS대상 DDoS 공격기법및공격현황조사 - DNS 서비스제공장비및 DDoS 공격방어를위한방법분석 - DDoS 공격완화를위한트래픽분산및대피소적용방안도출 제 2 절추진배경및필요성 DNS는인터넷서비스를위한핵심인프라시스템으로사람들이서비스를쉽게접근할수있도록의미있는문자화된도메인네임에대한실제적인 IP주소를맵핑하여서비스를제공하는시스템이다. 이러한 DNS는인터넷상에서음성서비스에서의전화번호와같은역할을수행한다. 그러나누구나쉽게접근이가능한 DNS 서비스의특성상 DNS는사이버공격의주요타깃이되어왔다. DNS 서버의서비스장애또는 DNS에데이터화되어있는도메인네임의오설정은인터넷서비스의마비를초래할수있으므로철저한보안관리가중요하다. 하지만 DNS DDoS 공격은방화벽 /IPS 등전통적인보안장비를통해보호될수있는성격을갖고있지않고, 인터넷서비스를

12 제공하기위해정상적으로요청되는모든 DNS 질의에응답해야하므로다른인터넷서비스인프라에비해사이버공격의위협에더욱많이노출되어있는실정이다. 이와같이, DNS는인터넷서비스를위한핵심인프라이지만, 서비스특성상 DDoS 공격에매우취약하고서비스장애시사회적, 경제적으로막대한손실을초래할수있는문제점을갖고있다. 또한, 대부분의국내 DNS 서비스업체들은대규모 DDoS 공격발생시정상적인서비스를제공할수없다. 그러므로 DNS서비스를보다안정적으로제공하기위해서는우선적으로취약한구조로서비스를제공하는호스팅업체들에대한 DNS DDoS 공격을방어하기위한방안으로대피소모델을제공하여보다안정적으로서비스를제공함과아울러, DDoS 공격에대한징후들을분석하고사전예방할수있는메커니즘을제공할필요가있으며, 본과제를통하여 DNS 대피소모델을위한서비스모델을제시하고자한다. 제 3 절수행목적및범위 본연구의주요내용은 DNS대상 DDoS에대한현황및동향을분석하고, DNS서비스를제공하는업체들의 DNS DDoS 공격사례및 DDoS 공격을완화시킬수있는방안을분석하여, DNS DDoS 공격을완화시킬수있는방법및취약한 DNS 서비스제공업체에대한 DNS 대피소를활용하는방안을도출하는것으로한다. 1. DNS 서비스체계, 구성및절차를통한 DNS의근본적인취약점에대하여분석한다. 2. DNS DDoS 공격을초래하는 DDoS에대한공격방법및공격분류를통하여 DNS만의문제가아닌, DDoS 공격을위하여 DNS가공격의수단으로사용되는과정을분석한다.

13 3. DNS 서비스를위한 DNS 전용장비들의특징및 DNS 전용장비들을이용하더라도 DNS DDoS를완화시키기위한분산장비들에대한현황을분석한다. 4. DNS 서비스제공업체들의 DNS 트래픽분석및 DDoS 공격에대한분석을통하여 DNS 서비스업체들의서비스취약점및개선방안들을도출한다. 5. DNS DDoS 공격의취약성이높은 DNS 서비스업체를위한 DNS 대피소서비스모델을도출함으로서, 보다안정적인 DNS 서비스를제공하는방안을제시한다. 제 4 절기대효과 DNS는안정적인서비스제공을위해투명화, 분산화, 계층화하여구축되어있으나, 서비스구조의특성상방화벽, IPS 등일반보안장비를통한방어가어렵고, 누구나쉽게접근하여서비스장애를유발시킬수있다. 그러나캐시서버및상위레벨 DNS는서비스보호를위한 DDOS 대응장비및 Anycast 기술을적용한지역분산적인서버구축을하지만, 권한위임 DNS를운영하는호스팅업체의 DDoS 공격방어를위해서는추가적인비용을들여 DDoS 대응시스템을구축하여야한다. 그러므로본과제에서는 DNS DDoS 공격에취약한서비스제공업체를중심으로 DDoS 공격에대한사전징후탐지, 서비스품질분석, DDoS 공격시적절한대응체계를갖추지못한일부중 / 소규모 DNS 서비스제공업체에대한 DDoS 공격등으로인한서비스장애시에대피소 DNS에서서비스를제공함과동시에 DNS DDoS 공격에대한최소화를위한대응체계를갖추고, 세밀한 DDoS 분석체계를도입하여서비스제공업체들의서비스보호및대국민서비스에대한신뢰성을높일것으로기대한다.

14 ( 그림 1-1) DNS DDoS 공격방어를위한대피소모델연구기대효과

15 제 장 서비스개요 DNS(Domain Name System) 는호스트명과 IP주소를서로맵핑시켜관리하고있는서버로써, 인터넷상에서정보를연결해주는가장중요한핵심인프라이다. 즉, DNS 장애가발생되면해당 DNS를이용하는모든호스트들은상대호스트에대한실제 IP주소를알수가없으므로, 인터넷을사용할수없는극한상황에놓이게되는것이다. DNS는단말로부터호스트에대한 IP주소를요청할때이에대한응답을단말에제공하며, 반대로 IP주소에대한호스트명을응답할경우에도사용된다. 호스트들은각각도메인으로데이터화되어있으며, 인터넷상에서실제사용하는물리적인 IP주소와사람들이기억하기쉬운도메인네임으로구분할수있다. 즉, 도메인네임은사람들이기억하고인터넷을보다사용하기쉽게주소에대응하는문자로된주소를의미한다. 제 1 절네임스페이스 도메인네임은전세계적으로유일한주소체계를갖고있어야한다 예를들면 은전세계적으로유일한주소이어야하며 중복할당되어서는안된다 그러나이러한주소체계는전세계적으로 에의하여지정된형태로할당되고서비스되도록체계화되어있다 즉 는체계적인계층적구조를갖고있으며 모든노드는최대 개의문자로이루어지는 을가지며트리의루트는특별한노드로서 을갖고있다 트리내의어떠한노드의도메인네임도 등과같이 의리스트로이루어지며그노드에서시작되어루트쪽으로올라가고 간은점으로구분된다 트리내의모든노드는앞서언급한것처럼같은도메인내에서는각자고유한도메인

16 네임을갖고있다 그림 은 의트리구조의계층적구성을보여주고있다 그림에서보는바와같이 최상위에 도메인이존재하며 그밑에 가존재하고 그하위에각각의고유한도메인네임을관리하는노드들로구성된다 이와같이 의계층적 인도메인네임구조는루트도메인 으로부터시작하여각서브도메인으로위임 하는구조로형성한다 최상위의루트도메인 은특수한도메인으로써모든도메인의부모도메인 이다 모든도메인은루트도메인으로부터위임받은서브도메인 으로정의된다 그림 도메인네임체계 도메인노드는전세계적으로 개서버가존재하며 모든 를검색하여제공하는역할을수행한다 아울러 는전 세계적으로도메인을참조하도록하는중요한서버이기에많은복사본들 을이용하여 에대한질의에대한속도를향상시킴과아울러 공격등을효과적으로분산시키도록하고있다 최상위도메인 은 범용도메인 국가별도메 인 인터넷인프라도메인 으로구분할수있다 최상위도메인중범용도메인

17 은 라하고 국가별도메인은 라한다 이외에인터넷인프라도메인은특 수한도메인으로써 도메인을지칭한다 제 2 절 DNS 처리절차 DNS는앞에서언급한바와같이도메인네임에맵핑되어있는 IP주소를찾아서클라이언트에게응답해주는시스템이다 ( 그림 2-2). 클라이언트는로컬네임서버로질의를전달하게되고, 로컬네임서버는요청된데이터를도메인내에서찾으면그에해당하는 IP 주소로응답한다. 만약로컬네임서버가요청된데이터를찾지못하면다른네임서버로질의를전달하게되는데, 최악의경우로컬네임서버의질의는 DNS트리의최상위에있는루트네임서버에서시작하여 tlddns를거쳐하위권한위임 DNS에서요청된데이터가발견될때까지아래로전달되게된다. 만약에로컬네임서버가캐시를구현하고있다면, 캐시내에서질의에대한응답을클라이언트로전달한다. 제 3 절 DNS 구조 DNS 서비스를제공하기위한 DNS 의구조는크게도메인네임공간 (Domain Name Space) 및리소스레코드 (Resource Record), 네임서버 (Name Server), 리졸버 (Resolver) 의 3 가지기능요소로구성된다.

18 ( 그림 2-2) DNS 질의절차 1. 도메인네임공간 도메인네임공간 (Domain Name Space) 은흔히인터넷에서사용되고있는도메인네임의계층적구조공간을의미한다. 호스트네임을지칭한다. 도메인네임공간의분배와도메인네임의할당은전세계적으로도메인네임할당기관을통해체계적으로할당, 관리되고있다. 이를통해인터넷상에서특정도메인네임은언제나유일한네임 (globally unique name) 으로써유지된다. 도메인네임공간은네임주소영역을분배, 할당, 구성하는방식을제공한다. 트리 (tree) 형태의계층적구조를갖는도메인네임공간을가리켜도메인트리 (Domain Tree) 라고도한다. 2. 리소스레코드 (Resource Record) 리소스레코드 (Resource Record) 는도메인네임공간중에서지정된도 메인네임, 즉네임 (name) 에대해필요한인터넷자원 (resource) 정보를

19 맵핑하는수단을제공한다. 예를들어 IP 주소가 일경우, 이를인터넷상에알려주기위해서는 (name) 에대해 IP 주소속성을연결시켜 DNS 데이터베이스를구성하여야한다. 이는 zone 파일을사용하여 IN A 이라는형태의표기를사용하여설정한다. 이러한하나의도메인네임 (domain name) 이가지는속성정보를지정하는수단으로정의된것이리소스레코드 (resource record) 이다. 리소스레코드 (resource record) 는확장이가능하다. 즉, IPv4 네트워크주소정보를설정하기위해 A type의리소스레코드 (resource record) 가사용되고있으나이제 IPv6가도입됨에따라 IPv6 네트워크주소정보를설정하기위해 AAAA type의리소스레코드 (resource record) 가추가로정의되었다. 리소스레코드의확장은기존에정의된리소스레코드에대한영향없이이루어진다. 리소스레코드 (resource record) 는도메인네임시스템체계에있어도메인데이터베이스를구성하는역할을한다. 도메인네임은인터넷상에서사용하는각종자원 (resource) 정보와연관시킬때, 인터넷네임체계로서의의미를지닐수있다. 리소스레코드 (RR - Resource Record) 는도메인네임 (domain name) 과인터넷자원 (resource) 정보를맵핑하여하나의분산구조형데이터베이스를구성하기위한수단이다. 리소스레코드 (RR) 는도메인네임이갖는속성을표현한다. 하나의도메인네임은호스트네트워크주소리소스레코드 (Host Address RR) 인 A 타입 RR에의해도메인네임이지칭하는 IP 주소를지정할수있다. 하나의도메인네임은다수의리소스레코드 (RR) 를그속성정보로가질수있다. 예를들면, 및 의 2 개의 IP 주소를그속성정보로가지면서동시에 "example web site" 라는텍스트문자열을텍스트리소스레코드 (TXT type RR) 를사용하여그속성정보로지닐수있다. 이와같이하나의도메인네임은인터넷네트워크주소를포함하는다양한인터넷자원 (resource) 으로서의속성정보를

20 ( 그림 2-3) 도메인네임스페이스와리소스레코드 설정하여인터넷통신에서유용하게사용될수있다. 리소스레코드는도메인네임에대해관련속성정보를맵핑할수있도록구조화되어있다. 일반적인구조는 ( 그림 2-3) 과같이 <Name><TTL> <Class><Type><RDATA> 로구성되어있다. 이중에서 <RDATA> 는리소스레코드 (RR) 데이터를표시하는부분으로써각유형별타입마다그표시하는정보에적합하도록다르게정의된다.

21 A [ 표 2-1] DNS 레코드종류 레코드종류내용호스트이름에대한 IP주소 단일호스트이름에해당하는 IP 주소는여러개있을수있으며, 각각의동일한 IP 주소에해당되는여러개의호스트이름이있을 수있음. PTR Pointer 특수이름이도메인의일부다른위치를가리킬수있음각인터넷주소의 PTR레코드는한개만있어야함 NS Name Server 도메인에는해당이름서비스레코드가적어도한개이상존재하여야하며, DNS 서버를가리킴 MX Mail Exchanger 도메인이름으로보낸메일을받도록구성되는호스트목록을지정 CNAME Canonical Name 호스트의다른이름을정의하는데사용 SOA Start of Authority 도메인에대한권한을갖고있는서버를표시 HINFO Hardware Info 해당호스트의하드웨어사양을표시 ANY(ALL) 위의모든레코드를표시 3. 네임서버 네임서버 (Name Server) 는도메인트리 (domain tree) 의일부분에해당하는정보를지니고전체인터넷도메인트리 (domain tree) 의한부분을구성하는서버이다. 네임서버는도메인네임공간의한영역을구성하는정보의집합인도메인존 (domain zone) 의정보를소유하고호스트로부터의질의에대해응답하는역할을수행한다. 흔히 DNS라고도하며특히특정질의에대해자신이소유한도메인존 (domain zone) 의정보만그응답으로제공하는동작을하는 DNS라는의미로써 iterative DNS라고불리기도한다. 또한도메인네임공간상의특정영역 (zone) 에대해관리권한이위임된서버이므로권한위임 (authoritative) DNS, 권한위임 (authoritative) 네임서버라고한다. 또한리졸버는동일한 DNS 질의를짧은시간내에빈번하게반복하는것을방지하기위해캐시 (cache) 를내부에구현하여 DNS 질의결과데이터를일정기간동안이캐시 (cache) 에저장하여관리한다. 각리소스레코드 (resource record) 는레코드자체에지정된 TTL(Time To Live) 시간동안만리졸버 (resolver) 의캐시에존재한후삭제된다.

22 그러나이러한리졸버의전체기능을모든호스트에구현해야하는것은아니다. 현재대부분의호스트에는전체리졸버기능이아닌스터브리졸버 (Stub Resolver) 형태로구현하고있다. 스터브리졸버 (Stub Resolver) 는호스트내의응용프로그램에프로그래밍인터페이스를제공하고응용프로그램의네임질의요청이있는경우, 시스템에지정된리졸버 (Resolver) 역할의네임서버 (name server) 로 DNS 질의를요청한다. 리졸버 (Resolver) 는스터브리졸버 (stub resolver) 를대신하여전체도메인네임시스템에대하여요청된레코드가존재하는네임서버를파악하고해당리소스레코드정보를획득한후최종응답결과를스터브리졸버 (stub resolver) 에게전달한다. 여기에서스터브리졸버 (stub resolver) 는전체도메인네임시스템 (DNS) 에대해원하는리소스레코드의위치를파악할수있는알고리즘을구현하지않는다. 대신항상 DNS 요청을처리할수있는리졸버 DNS(resolver DNS server) 의 IP 주소를지정하는것으로충분하다. 흔히 PC에설정하는 ISP 사업자가제공하는 DNS 서버또는네임서버 (name server) 는이리졸버 (resolver) 기능이설정된서버를지칭한다. 제 4 절 Zone 파일 Zone파일은 DNS의계층적도메인네임구조에서단일도메인을나타낸다. 즉, Zone파일은도메인네임과 IP주소, 다른소스들을포함하고있는데, RR의텍스트표현으로보면된다. 이는보통권한위임 DNS 서버의마스터파일을구성하며, 캐시 DNS에서목록화하여사용되기도한다. 루트 DNS나 tlddns는도메인네임을갖고있는권한위임 DNS에대한정보만을 Zone 파일로갖고있게된다. 앞에언급한 RR 세트는 Zone 파일의요소들이다. Zone 파일은도메인네임을갖고있는권한위임 DNS의설정에의하여사용가능하게되는데,

23 만약에 DNS 관리자가 Zone 파일을잘못설정하던지, 관리부주의에의하 여엉뚱한 RR 로구성한다면, 해당인터넷서비스가불가능하게될것이 기에, 신중하게설정, 변경관리가요구된다. 제 5 절 DNS 소프트웨어들 DNS 서비스는앞에서언급한바와같이, 인터넷 IP주소를제공하는매우중요한핵심인프라이다. 지금까지많은 DNS 소프트웨어들이개발되었으며, 캐리어사업자용, 기업용, 일반이용자용등의다양한용도로목적에맞게발전되어왔다. 그러나최근에는 BIND와 MS DNS가주종을이루고있다. [ 표 2-2] 는시중에나와있는대표적인 DNS 소프트웨어와각기능들에대한지원여부를간략하게나타내고있다. 특히, BIND는 DeFacto 표준화되어있고 DNS 문제점발견시업데이트도신속하여많은 DNS 장비제조업체들이기본 DNS 서비스엔진으로채택하고있다. [ 표 2-2] DNS 소프트웨어종류

24 제 6 절 DNS 서비스특징 1. 투명화 DNS는인터넷서비스를위하여누구든지접속하도록설계되어있고, 표준화된질의와응답절차를갖고있는단순한프로토콜을사용하고있다. 아울러, DNS 프로토콜은요청및응답이라는단순한절차로되어있어상태관리가필요없는구조로설계되어있다. 또한단순 Directory기반의서비스제공으로도메인네임레코드및데이터의적합성을확인하기가어려운상태로관리되고있다. 이러한투명성이반대로사이버공격에취약성을갖고있는대표적인사례로문제시되고있으며, DNS보안접속이어려운상황에서다양한 DDoS 공격의타깃이되기도하며, DNS 의웹사이트주소제공을통한호스트의공격도가능하게되어있다. 2. 분산화 DNS는네임관리를위한데이터베이스를분산화하고있다. 즉, 도메인네임에대하여한시스템에집중화하여관리하지않고분산하여관리를하도록권고하고있다. 그래서하나의도메인네임에대하여 2개이상의도메인네임등록을할수도있으며, 각도메인노드들도여러서버에분산하여관리가가능하다. 이렇게함으로써, DNS의장애및 DNS에대한공격등에대하여하나의서버가서비스불능이되어도다른네임서버를이용하여서비스가가능하도록할수있다. 아울러, 캐시 DNS는권한위임 DNS의 RR정보를일정시간동안저장하여질의요청시에권한위임서버를대신하여응답을제공할수있는구조로되어있다. 이러한분산화구조에의하여하나의서버가사이버공격에오염되던지사이트정보들이잘못입력되는경우해당서비스들이불가하게되는문제점을갖고있다. 이러한공격의대표적인것이캐시포이즈닝또는 DNS

25 Reflection 이다. 3. 체계화 전세계 DNS 서비스제공체계는 IANA에서 Root DNS로부터지역도메인관리서버까지계층적으로관리되고제공된다. 이러한체계적인제공체계는도메인네임의생성, 변경, 소멸등을각도메인별로자유롭게관리하도록하는기본체계를제공한다. 이러한수직적제공체계에의하여전세계도메인들은 gtld, cctld의관리범위내에각도메인들이등록되고각서브 DNS들은자유롭게관리되는형태를구성하게된다. 체계적인 DNS 서비스제공체계는상위계위에대한장애시장애확산범위가매우넓게분포되기에보다보안에신경을써야하는문제점을갖고있다. 아울러, 악의의공격자가이러한문제점을이용하여질의에대한다른응답을제공하도록정보를불법으로변경할수있는가능성을갖고있다. 제 7 절 DNS 서비스취약성 위에언급한 DNS서비스의특징에의해 DNS 서비스제공상에많은취약성들이존재한다. 이러한 DNS시스템의관리미흡은인터넷서비스접속이불가능하게할수있기에신중하게관리되어야만한다. 일반적인 DNS 서비스취약점들은아래와같다. ㅇ Human Error DNS 서버는보통매우일상적인작업으로진행된다. 그러나이러한일상적인작업들은 DNS records, 파일등에대한작업을하게되어있지만 (manual or automated), 부분적으로 DNS 정보의입력오류등이발생

26 하면, DNS 특성상빠르게확산되어인터넷서비스에장애를초래할가능 성이매우높다. ㅇ DNS 캐시포이즈닝공격자 (miscreants) 는 key DNS records를변경하기위하여도메인등록서버에저장된 DNS administrative records에대한접속을시도한다. 이를통하여 DNS 네임서버의주소, 관리자권한정보등을알아낸다. 이를통하여 DNS에등록된레코드를변경하여자신의사이트 (rouge servers) 로접속되도록함으로써범죄에악용할수있는기회를갖게된다. ㅇ DNS 증폭 (Amplification) 공격 DNS는다량의 DDoS 공격을위한수단으로사용되기도하는데, 감염된이용자가보낸 DNS 메시지에대하여 DNS가그트래픽을희생양인목적지로증폭하여반사하는공격의유형이다. 이러한방법은적은크기의 DNS 질의를이용하여큰크기의응답을희생양인목적지로보내어공격하는유형이다. ㅇ다른 DNS 공격유형 - DNS cache-miss attacks - Multi-vendor DDoS Attacks - DNSTXT records - C&C 또는다른공격과연계한 DNS기반 DDoS 또는 DNS lookup 위와같은특징을갖고있는 DNS는인터넷접속을위한매우중요한핵심기반시설이기에보안성강화는필수이다. DNS 프로토콜은인터넷발전초창기에보안이고려되지않아스푸핑등의해킹에취약하여도메인정보위 변조시에사용자가의도하지않은사이트로접속될우려가있음

27 IP 관리체계의내부보안중요성은확대되나, 도메인에대한기술적 / 보안적관리는매우허술 (DNS 장애시파급효과치명적 ) DNS 보안사고급증에대한예방환경확보필요 외부접속자의악의적도메인접근시도에대한모니터링체계정비필요 [ 표 2-3] DNS 보안이슈및해결방안 DNS 보안이슈 Zone 정보노출 (Zone Exposure) 포이즈닝 (Poisoning) 서비스거부 (Denial of Service) 비인가전송및업데이트 (Unauthorized Transfer or Update) 업데이트인가및인증체계구현 해결방안 전송 (Tansfer) 제한 뷰 (View) 생성 재귀적질의제한 ACL 기반 Query 제한 IPS 사용 동시사용규모의내부적제한 Rate-Limit TSIG(Trusted Signature) TSIG DNSSEC

28 제 3 장 DNS 서비스제공 제 1 절도메인네임분포현황 도메인네임은인터넷서비스를위한문자화된체계적인이름체계를갖고있으며, 마치음성통화를위하여사용되는전화번호와같이전세계적으로유일하여야만한다. 그러나전화번호데이터베이스와달리, DNS서비스의빠른응답및안정성을위하여전세계적으로분산하여데이터베이스가구축될수있으며, 많은복사본들을이용하여서비스장애에대한신속한대응체계를구축하고있다. 또한인터넷서비스가기존유선망에서 3G, 4G 등의상용화에따라모바일인터넷의중요성이더욱커지고있으며, 이에따른모바일도메인서비스가급증하고있다. [ 표 3-1] 은전세계도메인네임의분포를간략하게보여주고있다. [ 표 3-1] 전세계도메인등록현황 도메인구분.com domain names.net domain names.org domains names.info domain names Registered domain names cctld domain names(kr,jp,..) 등록수 95.5 million 13.8 million 9.3 million 7.6 million 220 million 86.9 million Top-level domains 324

29 표에서보는바와같이전세계적으로수억개의도메인이존재하며, 도메인별로전세계적으로분포되어사용된다. 우리나라의 DNS 서비스 kr 등록도메인은 [ 표 3-2] 에서보는바와같이 100만개가넘게등록되어서비스되고있으며, 계속증가추세에있다. 또한네임서버도 6만개정도운영되고있고있으며, 각도메인에대한질의형태는 A type과 PTR이거의 90% 정도에이르고있다. [ 표 3-2] Kr 도메인현황 ( ) Month 9월 10월 차이 Total 1,092,870 1,101,629 8,759 New 21,880 24,215 2,335 Suspended 26,174 23,161-3,013 Deleted 20,771 18,469-2,302 [ 표 3-3] 네임서버호스트의숫자 ( ) Number Ratio Total Name Servers 56, % KR Name Servers 37, % Other Name Servers 19, % [ 표 3-4] DNS 쿼리분포 Type of Query Ratio A 44% NS 0% CNAME 0% SOA 0% PTR 42% MX 4% AAAA 8% A6 0% ANY 0% Others 2%

30 제 2 절 DNS 서비스제공장비들 DNS는계층적인네임스페이스를이용하여클라이언트의 DNS 질의요구에따른디렉터리서비스를제공하는서버로써, 단순인터넷서비스에서 P2P, SNS, 모바일, 클라우드인터넷서비스로발전하면서 DNS 전용장비의중요성및수요가높아져가고있다. DNS 서버를위한소프트웨어도 [ 표 2-2] 에서본바와같이다양한종류들이존재하나, 요즈음대부분은오픈된소프트웨어인 BIND를응용하여 DNS 서버를구축하고있다. 그리고예전에는 DNS에대한관리인식이부족하여기존서버에중복하여 DNS 소프트웨어를포팅하였으나, DNS의 DDoS 공격강화, DNS를이용한피싱, 파밍등에대한문제점및네트워크의구성복잡성으로인하여이제는전용서버구축및이중화구성등을통하여안정적인 DNS 서비스를제공하려고하고있는추세이다. 일반적으로 DNS 장비들은아래와같이 DNS 운영에필요한다양한기능들을제공하고있으며, 기본적인 DNS의구성모듈들을요약하면 ( 그림 3-1) 과같다.. ( 그림 3-1) DNS 소프트웨어패키지구성요소

31 - 네임서버타입지원 (1차, 2차, 캐시 DNS 기능 ) - DNS 캐시포이즈닝, DNS 피싱 (Phishing), DNS 파밍 (Pharming) 등 DNS 공격및취약점에대한대처기능 - DNS 관리자의접근보안성강화기능 - 하드웨어 HA 기능지원 - 다양한 DNS 질의타입지원 (Recursive, Iterative, Reverse) - 표준기반 DNS 기능준수 (RFC 1034/1035) - Reverse address 위임 (Delegation) 기능 - TCP, UDP 질의지원 - IPv4/IPv6 지원 - 도메인네임등록 - 웹기반관리인터페이스 - Multiple zone 관리기능및 Zone Transfer 지원 - 리소스레코드 (RR) 지원 (RFC 2052) - DDNS : 동적업데이트기능 (RFC 2136) - 자동백업및복구기능 - DNS 데이터및로그관리를위해필요한커스터마이징용도의 API 기능 - DNS 환경의간편한업그레이드및다운그레이드기능 - DNS 관리자의권한차등부여기능 - 기존데이터의간편한마이그레이션을위한 DNS 데이터임포트마법사기능 - DNS 서비스장애시관리자공지메일발송기능 - DNSSEC 기능 ( 그림 3-2) 는기본서버들을이용하는형태에서의사용예를보여주고있다. 그림에서보는바와같이 DNS 는오픈소프트웨어인 BIND를많이사용하며, OS별로이를지원하는형태로구성된다. 그리고하드웨어는일반서버를이용하여구축하는형태이다. 그러나일반소프트웨어를

32 서버에구축하는형태는보안문제, 리던던시문제, 확장성부족, 신뢰성 부족등의서비스안정성에대한문제점과설정상의오류발생및관리 상의많은시간이소요되는단점들이있어왔다. ( 그림 3-2) 일반 DNS 서버구축형태 이러한문제점들을개선함과아울러, DDoS 공격등의체계적인대처필요성, 다양한인터넷서비스로의진화및보안의중요성, 성능상개선필요성등에의하여 DNS 전용장비들이많이사용되고있는상황이다. DNS 전용장비들은 DNS가제공하여야하는중요기능들을모두포함하고있으며, 보다개선된보안메커니즘을사용하고있으며, 성능이슈들을자체적으로해결하여서버장애시에자체적인고속리던던시기능을제공하고있다. 아울러, GUI기반의인터페이스를제공하여도메인네임등록및변경편의성을강조하고있으며, 전체서버를분산하여관리할수있는기능을제공한다. 일반적으로 DNS 전용장비들은기본 DNS기능에 DDI(DNS, DHCP, IPAM) 라는 IP관리를위한추가솔루션을제공한다. 이용업체들도네트워크안전성및관리편의성을위하여 2개이상의솔루션들을통합적으로이용하는추세이다. 특히, 기업네트워크의규모및복잡성증가, 자체보안강화필요성으로인하여방화벽내부또는외부에 DNS를구축하여운영하는사례들도많다. 2012년가트너 (Gartner) 마켓분석에따르면, 2011년도에는 DDI 시장규

33 모가 290백만불규모로성장하였는데, 이는 2010년도보다 36% 증가한것이라고보고하고있다. 아울러, 2012년도에는 29% 정도증가하여 380 백만불정도로커질것으로예측하고있으며, 많은기업들이운영효율성및전체적인네트워크관리안정성을위하여 DDI 솔루션을이용할것으로기대된다고발표하였다. 아울러, 가트너는제품 / 서비스에대한확장성, 고객경험, 제품전략등다양한평가기준을통하여 [ 표 3-5] 와같이 2012년도 DDI 장비들에대한마켓스코프 (marketscope) 를요약하여발표하였다. 알카텔-루슨트 (Alcatel-Lucent) VitalQIP는 SMB시장에서보다는주로 ISP 사업자로부터좋은반응을얻어 ISP시장의 30~35% 를차지하고있다고분석하고있는데, Overlay 솔루션으로운용이가능하며, 대규모트랜잭션처리및다양한소프트웨어에포팅이가능한구조로되어있어 ISP 시장에맞게향상된기능들을포함하고있다. 그러나중소규모의 SMB시장에맞는 LAN 포트관리기능들을갖고있지않고, 추후버전업그레이드가약하다고평가하고있다. 블루캣네트웍스 (BlueCat Networks) 는 Adonis 계열장비및전용관리장비로 Proteus를제공하고있다. 특히, IBM과의파트너십을통하여 IBM의클라우드서비스에관리시스템으로적용할계획이며, IPv6서비스제공에도적용하고있다. 주로 IP관리및 DNS의구축이요구되는기업을중심으로매우빠른성장세를기록하고있는중이다. BT 다이아몬드 (BT Diamond) 는 BT계열에서나온시스템으로대규모가입자를수용할수있는구조로 15% 정도의 ISP 시장을차지하고있다. 이솔루션도 VitalQIP와마찬가지로 SMB에는별로매력적이지않은솔루션이다. 아울러, 마케팅의노력이약해시장확장에어려움을많이격고있었으나, 2012년시스코가 BT 다이아몬드의기술을시스코자사네트워킹솔루션에도입하여기업형 DDI 시장을진출하고자노력하고있다. 1999년도에설립된인포블락스 (Infoblox) 는기업형 DDI 시장에매우일찍진출한업체로강력한글로벌마케팅채널을보유하고있으며, 전체마켓의 40% 정도를점유하는것으로알려져있다. 인포블락스는그리드

34 (Grid) 라는여러장비를클러스터로묶어관리하는기술을제공하며 DNSSEC, IPv6 등에대해서도선도적인솔루션을제공하고있는것으로 알려져있다. [ 표 3-5] DDI 마케팅스코프분석 strong Negative Caution Promising Positive Strong Positive Alcatel-Lucent ㅇ BlueCat Networks BT Diamond ㅇ ㅇ EfficientIP ㅇ InfoBlox ㅇ Men&Mice ㅇ Nixu Software ㅇ

35 제 4 장 DDoS 공격및현황분석 인터넷서비스는인터넷망과인터넷에연결되어있는호스트들간의서비스취약점을이용하여시스템들의서비스장애를유발시키는방법들이 DoS(Denial of Service) 이다. 일반적으로인터넷은개방적프로토콜이면서회선교환이나 X.25, Frame Relay, ATM 등과같은패킷교환서비스와같이체계적으로보안을염두에두고발전된체계가아니기에많은취약점들이존재하며, 이러한시스템들의취약점을이용한공격이 DoS 공격을가능하게만드는요인들이된다. DoS는인터넷서비스의취약한라우터, 웹, 전자우편, DNS 서버등모든네트워크장비를대상으로이루어질수있다. DoS 공격은시스템의서비스거부를위하여특정시스템에대한대규모공격으로인하여아래의같은시스템장애를유발시킨다. ㅇ전산자원을소진ㅇ구성정보를교란ㅇ상태정보를교란ㅇ물리적전산망요소를교란. ㅇ원래사용자와희생물사이의통신매체를차단. 아울러, 악성코드에의해감염된호스트들은아래와같은상황이나타날수있다. ㅇ프로세서를바쁘게하여아무일도못하게함ㅇ마이크로코드에오류를발생시킴. ㅇ순차적명령어실행에오류를발생시켜서컴퓨터가불안정한상태에빠지게하거나멈추게함ㅇ운영체제자체를파괴그러나이러한 DoS 공격은하나의감염호스트에서대량으로발생되

36 기에이에대한대비책들이많이나와있고, 중요한서비스를제공하는시스템들은이러한 DoS 공격을차단하기위한다양한차단및방어시스템들을구축하여서비스거부가발생되지않도록하고있다. 분산서비스거부공격 (Distributed DoS, DDoS, 디도스 ) 은 DoS 공격의효과가극대화되도록다수의단말들을이용해공격을시도하는방법이다. 악성코드나바이러스등의악의적인프로그램들을통해서일반사용자의 PC를감염시켜좀비PC로만든다음 C&C 서버를통해 DDoS 공격이수행된다. ( 가장유명한예는 MyDoom 공격이다.) DDoS공격의구성요소는공격자 (Attacker), 마스터 (master), 중간자 (Agent) 의 3가지로구성된다. 공격자는공격대상이되는시스템의주소를마스터에전달하고공격명령을내리게된다. 마스터는공격명령에따라공격대상시스템의주소와자신이관리하고있는중간자에게공격명령을전달하고, 중간자들은마스터의공격명령에의하여정해진패턴에의거하여공격대상을동시에공격하게된다. 이에의하여동시에공격받은시스템은결국서비스불가능상태에빠지게된다. ( 그림 4-1) DDoS 공격방법

37 분산반사서비스거부공격 (Distributed Reflect DoS, DRDoS) 은 DDoS 가한단계더진화한형태의공격방식이다. IP 주소를스푸핑한 ICMP Echo request 패킷을브로드캐스트주소로보내공격대상에게수많은 Echo reply 패킷을전송함으로써다운시키거나 (Smurf 공격 ), TCP/IP 네트워크의취약점을이용하여공격대상에게 SYN/ACK 홍수를일으켜대상을다운시키는공격방법이대표적이다. 공격자는공격을위한악성코드를개발하여악성코드를유포하기위한봇넷을구성하여좀비 PC들을대량으로확산시킨다. 이후어느일정시점이되면, 좀비 PC들에게일제히공격대상을공격하도록제어함으로써공격대상시스템을마비시키게된다. 최근에이러한과정은탐지및방어시스템의기술발전에의하여보다치밀하게장시간에걸쳐서준비하고일시적으로공격하는양상을띠고있다. ( 그림 4-2) DDoS 전파단계 이러한 DDoS 공격은다양한경로를통하여다수의호스트들에좀비들 을배포하게된다. 아래는현재까지나타난좀비들을유포시키는경로들 을보여주고있다.

38 ( 그림 4-3) DDoS 유포경로 제 1 절 DDoS 공격유형 DDoS 공격은그공격형태에따라아래표와같이분류가가능하다. 이러한공격은대역폭 / 세션을고갈시키는유형과서버자원을고갈시키는공격유형으로구분이가능하다. 대역폭 / 세션을고갈시키는것은 L2~L4 레이어의취약점을이용한공격으로네트워크자원을고갈시킴으로써서비스가불가하도록만드는방법이며, 서버자원고갈은 L7 레이어의응용계층서비스에대한공격으로응용은서버로정상적으로유입되어서버가세션을처리하는데과부하를유발시켜서비스장애가발생되도록하는방법이다.

39 [ 표 4-1] DDoS 공격유형 공격분류특징공격유형 Flooding 공격 Connection 공격 Application 공격 Non-Spoofing 공격 Spoofing 공격 HTTP 공격과다 TCP Connection 공격 Application 특성이용 - SYN/ACK Flooding - UDP Flooding - ICMP Flooding - RST Flooding - TCP/UDP/ICMP 혼합형공격 - SYN/ACK Flooding - FIN Flooding - SRT Flooding - TCP/IP Null 공격 HTTP Daemon 개수이상을초과시킴 Application 의 inpu queue 마비 FTP 공격, Time 공격, VoiP 공격, DNS 공격, DHCP 공격, SQL 공격, Netbios 공격,RPC 공격, Cache Control 공격 제 2 절 DDoS 공격현황 DDoS 공격은악의적인프로그램에서정한특정시간대에시작된다. 과거의 DDoS공격은자신의해킹기술을과시하거나쇼핑몰, 웹사이트등을대상으로금전적인대가를요구하는경우가많았으나, 요즈음정치적인목적을달성하기위한핵티비즘, 경쟁사웹사이트를장시간사용못하게하는영업방해등으로그목적이다양해졌다. 공격기법도과거에는커맨드라인형태로공격을위해서수작업으로공격대상시스템의 IP주소를입력하는방법이었으나, 최근에는윈도우시스템에서간편하게실행이가능한 GUI 형태로변했으며, 단순한단일형태의공격유형에서 3개이상의다른공격유형들이동시에복합적으로수행되는형태로지능화되고있다. 아래는 DDoS공격에대한공격변화를간략하게보여준다. 대표적피해사례로 2009년 7월 7일에있었던 DDoS 공격이있다. 7.7

40 DDoS공격은 7.4일미국주요사이트를대상으로공격이되었으며, 국내최초공격은 7.7일민간및공공서비스대상으로시작되어정부, 공공기관, 민간기업등을주요대상으로하여공격이계속되어 7.7 DDoS 공격이라불린다. 7.7 DDoS공격의특징은대규모좀비를이용하여초당 20~50 개정도로공격하는소규모공격, C&C 서버가없는최초의 DDoS, 동시에 4~5개의공격이동시에발송, HTTP Get Flooding과 CC Attack을혼합한정교한 TCP/HTTP 공격이었다는것이다. ( 그림 4-4) DDoS 공격주요변화 또하나의대표적인 3.4 분산서비스거부공격 (3.4 DDoS 공격 ) 은 2011년 3월 4일, 대한민국주요정부기관, 포털사이트, 은행사이트등이분산서비스거부 (DDoS) 공격을받아서비스가일시적으로마비된사건이다. 방송통신위원회 ( 이하방통위 ) 에따르면악성코드는 P2P 파일공유사이트인셰어박스와슈퍼다운에올라온일부파일에삽입돼유포됐다. 방통위는해커가 3일오전, 두사이트를해킹한뒤악성코드를심어놓은것으로보고있다. 3.4 DDoS 공격에동원된좀비PC 수는총 116,299대로최종집계됐다. 이는 7.7 DDoS 공격시의 115,044대와비슷

41 한수치다. 3.4 DDoS 공격에사용된악성코드는난독화를거치는등 7.7 DDoS 공격시사용된악성코드보다훨씬진화한것으로드러났다. 아울러, 7.7 DDoS 악성코드는공격시간이정해져있었지만이번악성코드에는시간이설정돼있지않아한번감염되면치료되기전까지계속악성트래픽공격을감행하도록돼있었다. 또한, 하드디스크파괴증상은 7.7. DDoS 당시에는명령서버로부터명령을받고일정기간이지난후실행됐으나이번에는명령을받는즉시하드디스크를파괴하도록설정돼있었다. ( 그림 4-5) 7.7. DDoS 공격분석

42 ( 그림 4-6) 3.4. DDoS 공격분석 ( 그림 4-7) 최근악성코드유형분석

43 DDoS 공격은다양한형태가존재하며, 이러한공격은시간이갈수록더증가하는것으로알려져있다. 아래표는 월에나타난알약에서의자체수집및신고된사용자의감염통계를통하여산출된순위를보여주고있다. 아래통계결과를보면 15개중에서 2월에신규로발생된새로운악성코드들이총 9종으로매달새로운신종악성코드들이발생함으로의미하며, 종류들도다양한것으로분석되고있다. [ 표 4-2] 최근악성코드감염통계 악성코드유형별비율을보면전통적으로스파이웨어, 애드웨어, 트로이목마유형이 6~70% 정도차지하며, 기타, 다른유형도 30% 를차지하는것으로나타나고있다. 이러한다양한형태의공격은가면갈수록지능화형태를띠면서사전탐지가어려울가능성이높아지고있다. DDoS 공격완화장비업체인프로레식 (Prolexic) 사의보고에따르면,

44 2012 1분기에네트워크 / 세션계층의공격은 73% 정도이고응용계층공격은 27% 정도로나타났다고보고하고있다. 네트워크공격은 SYN floods (32%), ICMP floods (26%), and UDP floods (20%) 순으로나타났으며, 응용계층공격은 GET Floods (77%) and POST Floods (8%) 순으로 GET Floods 공격이매우높음을알수있다. 2011년 4분기에는 140억개의패킷에 19.1TB의데이터가악의적인트래픽이었지만, 2012년 1분기에는 1.1조개의패킷에 65TB 패킷으로매우증가하였다고보고하고있으며, 공격시간은점점더짧아지고있다고보고하고있다. 아울러, 공격유형은패턴에따라다르게나타나지만, 위에서언급한공격유형들이아직은주류를이루고있음을알수있다. 특히, DNS 공격이 2011년 1분기에 0.77% 에서 2012년 1분기에는 2.5% 로 DNS 공격비중이매우높아지고있음을보여주고있다. 글로벌보안업체인시만텍 (Symantec) 에따르면 2011년한해악성공격은 55억건으로전년대비 81% 나증가했다. 시만텍은 2012년 5월 ' 인터넷보안위협보고서 ' 제17호를발표하면서, 아래의 5대주요특징을설명하고있다. ( 그림 4-8) 2012 년 1 분기 DDoS 공격분포

45 악성공격 81% 증가, 스팸은 34% 감소 년한해악성공격은 55억건으로전년대비 81% 나급증했으며, 악성코드변종도 4억 3백만개로 41% 증가. 매일차단된웹공격건수도 36% 증가한 4천595건에달함 - 매공격마다자동으로새로운형태의돌연변이악성코드를생성해공격하는 ' 다형성 (Polymorphism)' 공격이급증 - 지난해러스톡 (Rustok) 과같은악명높은봇넷들이잇따라폐쇄되면서스팸양이감소한것으로분석 표적공격이용한사이버스파이활동증가 - 사이버공격의새로운유형으로주목받고있는 ' 표적공격 ' 은 2010 년일평균 77건에서 2011년 82건으로증가 - 경제강국들이갖고있는원천기술과첨단기술을빼내기위한디지털산업스파이활동이활발해지면서표적공격은경제전분야에영향을미치고있음 - 표적공격은제로데이취약점등각공격마다평균 2종의보안취약점을이용한것으로나타났음. 모바일취약점 93% 증가 스마트폰공격급증 년모바일보안취약점은 315건으로전년대비 93% 증가 년은모바일악성코드가기업및개인사용자에실제적인위협으로대두된원년으로분석 연간 2억3천200만건의개인정보유출 년은그어느해보다도데이터유출사고가빈발한해임 - 연간총 2억3천200만건이상의개인정보가유출되고, 사고당평균약 110만건의개인정보유출 - 산업별로는컴퓨터소프트웨어, IT 및헬스케어분야가전체데이터유출사고의 93% 를차지 - 총 1억8천700만건이상의개인정보가해킹으로유출 사이버범죄의새로운온상, 소셜네트워크

46 ( 그림 4-9) DDoS 공격유형변화비교 (2011 년 1Q 대비 2012 년 1Q) - 전통적인스팸메일대신사이버범죄자들은새로운공격대상으로사용자가빠르게늘고있는소셜네트워크로눈을돌리고있는것으로나타남 보안취약점은전반적으로감소 - 새롭게발견된보안취약점은 2010년 6천253개에서 2011년 4천989 개로, 전반적으로감소한것으로나타남 - 구글크롬의취약점이크게감소하면서주요웹브라우저의취약점수도 2010년 500개에서 2011년 351개로크게감소 - 브라우저플러그인에영향을미치는취약점역시 2010년 346개에서 2011년 308개로다소감소 - 패치가배포되기전에취약점을이용하는제로데이공격은그위험성이더큰데 2011년탐지된제로데이취약점수는 8개로, 지난 6년중최저를기록

47 그러나 DDoS공격은점점더지능화되면서최근에는 APT( Advanced Persistent Threat) 공격처럼정확한표적만을대상으로활발하고지속적으로공격하는것이특징이며, 여러가지공격기술을사용하여 Kill Chain 을형성하여오랜기간잠복하여지속적으로정보를수집하는 (Low and Slow) 것이특징으로대두되고있다. 이러한 APT 공격은오랜기간동안 DDoS 탐지장치에의하여감지되지않는특징들을갖고있으나, 그피해는매우큰특징을갖고있다. 표는최근의 APT공격에대한사례를보여주고있다. [ 표 4-3] 최근 APT 공격현황 APT 목록 공격목표 발견된날짜 ( 지속시간 ) 주요피해 DUqu 8 개나라의 6 개조직 ( 기관 ) 2011 년 10 월 (11 개월 ) 디지털서명과인증파일및시스템정보 Stuxnet 이란의 5 개시설 ( 기관 ) 2011 년 7 월 (1 년 ) 우라늄발전소시설생산차질 Operation Shady RAT 71 개조직 ( 기관 ): 방산업체, 관련비즈니스및기술업체, UN, IOC 2011 년 7 월 (5 년 ) 데이터베이스, 이메일, 중요기밀 RSA Breach EMC/RSA, 록히드마틴 2010 년 4 월 (2 개월 ) SecurID Operation Aurora 30 이상의조직, 기관, 회사 : 구글, Rackspace, 어도비, 주니퍼 2010 년 1 월 (6 개월 ) 소스코드, IP, Gmail 계정

48 제 3 절 DNS DDoS 공격 1. DNS 대상공격 DNS 는모든클라이언트가인터넷 IP 주소를알기위하여자주사용하 는시스템이기에다른서버들과마찬가지로 DDoS 공격의대상이된다. 단순 DoS형공격 DNS는 DNS 질의가매우많은서버로써전세계어디서나루트서버, 캐시서버, 권한위임서버들에접속이가능하다. 그럼으로 DoS공격과같이순간적으로많은질의요청이들어오게되면 DNS 서버의성능에영향을미치게된다. 특히, DNS 서버를운영하는영세한업체들은 DNS DDoS의주요공격타깃이될수있으며, 과도한질의트래픽에의하여링크자원소모및서버의서비스거부현상이발생하게된다. 이러한공격의특징은공격자가자신의호스트를이용하여직접공격하는특징을갖고있다. 또한 spam filter 또는 Black-lists를이용하여차단을하더라도공격자는더많은패킷량으로공격을하여 DNS 서버의처리능력을상회하고나, 자원낭비를초래할수도있다. 아울러, 스푸핑된 IP주소를이용한공격도가능하다. Recursive Attack DNS에대한 Reflection DDoS 공격의특별한유형을 Recursive 공격이라한다. 이러한공격은권한우임서버에관리되지않는질의를이용하여공격하는형태이다. 일반적으로 DNS 캐시서버는캐시를갖고있기에, 동일한정보를가진질의에대해서는자체적으로응답을하지만, 매번다른사이트에대한질의요청을하게되면이에대하여 DNS는자체데이터베이스를근거하여응답을주어야하기에성능저하를초래하게될것이다. 특히, 공격자가 DNS 서버주소를알고스푸핑하게되면, 질

49 의가공격대상 DNS로몰리게될것이다. 이러한공격의특징은특정도메인에대하여대규모로다른형태의 Quer 패킷을보낸다는것이다. DNS 서버는대규모패킷에대한내용및요구를감지하지못함으로인하여서비스거부를하게된다. 아울러, DDoS의형태로공격하게되면수많은 DNS 서버로부터특정 DNS로엄청난양의질의가유입되게될것이다. DNS 캐시포이즈닝 DNS 캐시포이즈닝공격은권한위임 DNS 서버의정보에대한가짜응답을응답함으로써 RS DNS가이가짜정보를캐시메모리에저장하고있다가, 클라이언트로부터의 DNS 질의가요청될때, 이정보로응답하도록하는방법의공격이다. 이에따라서, 일정기간 RS DNS 내부캐시에가짜 DNS정보를갖고있다가그이후의클라이언트질의에잘못된정보를제공하게된다. 이러한포이즈닝은 DNS들간의통신에서인증된절차를사용하지않음으로써공격자는이문제점을이용하여질의등의결과가다른사이트에대한정보를제공함으로써발생되는것이다. 이러한공격의특징은권한위임 DNS에대한 RR정보를변경하여야하므로, 권한위임 DNS 서버인것처럼하기위하여 DNS 질의에대하여자신이응답하는권한위임 DNS인것처럼하여야하기에수많은질의응답을보내게되고, 그중에캐시를감염시킬수있는확률에의하여캐시포이즈닝이발생된다는것이다. 즉, 캐시 DNS 서버로질의를날리고가짜권한위임서버가캐시서버의응답에답하도록하는과정에서 DDoS공격의형태를띠게된다. DNS의일반적인과정에서의 RS DNS는파란번호처럼자신의 DNS내에해당 DNS정보가없는경우에 Root로부터원하는 DNS 정보를얻어오는과정을진행한다. 그러나 RS DNS가정보를물어볼때, 공격자가해당질의에대하여 Root DNS보다먼저응답을하게되면, 마치 Root DNS의응답을얻은것처럼 RS DNS는캐시에저장하게되어, 클라이언트로부터의질의에대한응답을보내주어캐시포이즈닝이발생하게된

50 다. 잘못된정보응답은아래의조건이될때가능한방법이다. ( 그림 4-10) DNS 캐시포이즈닝과정 authoritative NS의응답전에 RS DNS에응답하여야함 재귀 NS의원래질의로부터의 Question Section 을포함 응답하는 ID는질의의 ID에일치 가짜응답의소스주소는질의한목적지주소와일치 가짜응답의목적지포트 / 주소는 RS DNS 질의의소스주소 / 포트와일치 버퍼오버플로우이러한공격은 DNS의버퍼관리메커니즘의약점을이용하여버스트하게유입되는질의를처리하기위한버퍼를고갈시켜서서비스거부가발생하도록하는방법이다. 공격자에의하여보내진질의는패킷크기등을조작하여버퍼오버플로우가발생하도록할수도있다. 또한권한

51 위임 DNS 서버를이용하여 request에대한 RR응답시조작된 RR로인한버퍼오버플로우가발생할수도있다. 이러한공격의특징은비정형화된패킷으로보낸패킷에의하여 DNS 서버에서의버퍼가오버플로우가발생하도록조작되어지는것이다. 또한패킷오버플로우는조작된데이터로버퍼오버플로우를발생시키고코드가해석되도록함으로써오버플로우가발생되어서비스거부가발생된다는특징을갖고있다. 2. DNS 를이용한공격 Reflection attack 이공격은앞에서언급한바와같이, 공격대상호스트로패킷들이전달되도록하는방법이다. 이러한방법은 DNS 질의요청시에공격대상호스트로응답하도록함으로써대량의응답트래픽이공격대상호스트로유입되므로인한서비스거부현상이나타나게된다. 특히, 응답시에몇배이상의응답패킷으로보냄으로써공격의효과를배가시키는증폭공격이있다. 예를들면, 공격자가 DNS 서버로의 resolution에대한 Quer를요청하면, DNS 서버는공격대상호스트로 5배정도크기의응답패킷을보내게된다. 응답패킷사이즈가크면 DNS는 TCP를이용하게되는데, 이러한 TCP 통신을하게되면, 재전송메커니즘이동작되어공격의효과를가중시킬수있게된다. 이러한공격의특징은 DNS 질의패킷은정상적인패킷으로보이며, DNS 서버가이메시지를공격메시지라고판단하기힘들다는것이다. 정상적인패킷으로공격이오기에서버단에서이메시지를공격으로확인하는것은매우힘들며, Netflow 등을통하여확인이가능할수있다. 더구나, 증폭공격의경우공격여부를판단하는것도매우힘들다. 증폭공격의경우질의응답에대한재전송을요구하기에 TCP를이용한경우에는좀더많은신중을요구한다.

52 DNS 터널링 DNS 터널링은 DNS 서버간의통신으로많이사용되는데, 이터널링을 통하여 DNS 의 RR 을조작하는것이가능하게된다. 3. DNS DDoS 공격사례 2011년 5월체코에서는스팸을통한특정도메인서버의사전등록된도메인만을상으로공격이발생하여서버를무력화하였다고한다. 여기에는 14000개의봇이참가를하였으며, SMTP를이용하여대규모의 White Horse를만들어특정 DNS 서버로 DNS 질의를보냄으로써서버를무력화하였는데, SMTP의속성상 SMTP서버는언제든지 White Horse가가능하다고보고하고있다. ( 그림 4-11) DNS White Horses DDoS 공격

53 구글은자체적인조사결과약 50만정도의단말이 DNSChanger에의하여감염되었는데, 이를감지하여구글검색결과페이지를통하여단말의감염여부를확인공지하여사전에 DNS DDoS 공격을차단한사례도있다. 국내 ISP업체에도 2008년 2월경강남 / 부산 / 전남등일부지역에서다량의 DNS DDoS Attack 발생하였는데, 평상시의 3~4 배에달하는트래픽유입되었으며, 질의패킷은 Qcount, Zerobit, Rcode 등이비정상적으로설정되어있고 Qname이 Null이면서패킷사이즈는큰 (Huge) 특징을갖고있어, DNS 질의패킷을가장한 DNS DDoS Attack 으로추정되었다. 또한, 숙주 PC에서는초당수천 PPS( 최대 5,200 PPS) 의비정상 DNS 질의를쏟아내는특징을보였다. 분석시스템의분석및사전조치로인하여다행히 DNS 서버로의트래픽유입량이급격하게증가되지않고 3배수준의트래픽과다로장애가발생되지않았지만, 분석시스템의정확한분석이대형장애를사전에차단하는요소임을일깨워준사건으로평가되고있다. 아버네트웍스 (Arbor) 는 2010년도전세계의서비스제공자, Content/ ASPs, 기업, Mobile 분야의각사업자들 111업체에대한보안현황조사를실시하여보안분석한결과, 2010년도처음으로 100Gbps가넘는 DDoS 공격이발생하였으며, 그중에서응용계층공격의점점더일반화되고있다고보고하고있다. 또한공격의형태도여러개의공격유형들을동시에조합하여점점더복잡하게공격을한다고보고하고있다. 그중에 ( 그림 4-12) 에서보는바와같이 DNS를공격목표로하는비중이매우높음을보여주고있어 DNS에대한보안이슈가매우커지고있음을보여주고있다 ATLAS Initiative도 Port 80을타깃으로한공격이비중이점차커지고있고, 특히 80, 53 그리고 Fragment를통한공격으로공격목표가점점집중화하고있음을보여주고있다.

54 ( 그림 4-12) 응용계층 DDoS 공격목적지분포 ( 그림 4-13) 응용계층 DDoS 공격목적지분포 (Atlas 분석 ) 특히, 뉴스타 (Neustar) 의 2011년도 DDoS 공격에대한특징을발표하면서, 2011년에는응용계층공격의증가가눈에뛸정도로커지고있으며, 여러공격유형을복잡하게포함하여공격형태를만들어가고있으며, 특히, DNS DDoS 공격이거의 10% 정도에이르고있다고발표하고있다. 아버네트웍스 (Arbor) 는 2011 Infrastructure Security Report를발표하면서 DNS 공격에의해서버가다운된경험을발표하면서전체적인공격빈도는조금씩증가하지만다행히 DNS 공격에대한방어체제를구축하는흐

55 름에따라 DNS 서버다운은 2010년 32% 에서 13% 로많이줄어들었다고보고하고있다. 권한위임 DNS 서버는특히 DDoS 공격에취약한것은권한위임 DNS 서버를보호하기위한값비싼솔루션을도입하는것이어렵다는것이다. ( 그림 4-14) DNS 공격에의한 DNS 서버장애분포 (Arbor 분석 ) DNS DoS 또는 DDoS공격은사전정보를예측하거나, 또는관리상의취약점보완을철저하게관리를하여야하지만, 실제적으로 DNS 서버의다운이발생하기전에그원인을확인하고공격을완화시키든우회시키는방법을알기가어려운단점이있으며, 설령안다고하여도이를직접적으로제어할수있는메커니즘을구축하기가어렵다는것이다. 그럼으로 DNS에등록하려는업체들은다양한 DNS에등록을분산시키는방법을통하여한 DNS가공격을당하더라도다른 DNS로접속하여정상적인서비스가되도록할필요가있으며, 보다강력한보안을제공하는 DNS 업체의등록을통하여최악의시나리오상에서도서비스가되도록함으로써인터넷서비스의장애가발생하지않도록노력할필요가있다.

56 제 5 장 DDoS 공격방어를위한서비스모델 제 1 절전통적공격방어 기존의 DDoS 공격은공격시대량의트래픽을특정대상서버에집중적으로보냄으로써서버의서비스거부나장애를유발시키는형태를취하고있다. 이러한공격은인터넷의계층별취약점을이용하여공격패턴을생성하여왔으나, 공격의특징상정해진패턴으로공격을수행하였다. 이러한공격은비정상적으로많은패킷을서버로보내기에비정상유무를탐지할수있는장비들을이용하여서버의공격을방어하는체계를구축하여왔다. DDoS 방어시스템은 IP 계층별로고대역 DDoS 공격방어가가능하도록구성할수있으며, 각계층별필터를통하여고대역 DDoS 공격대응을하도록되어있다. 일반적인공격대응시스템은수동적차원의공격방어형태로알려진비정상적패킷에대하여사전차단하는룰셋을적용하기도하고, 원하지않는 IP/Port에대하여간단한필터링정책을통하여패킷을드롭시키는정책을적용하기도한다. 또한정상적인패킷이더라도과도한패킷을유입되는경우에는임계값 (Rate Limit) 설정을통하여서버를보호하기위한정책을적용하기도한다. 일반적인 DDoS 공격대응은 ( 그림 5-1) 에서보는바와같이 L3~L7까지유입되는패킷패턴을각계층별로분석하여차단하는메커니즘을적용한다. 일반적으로비정상이라고판단가능한패킷들에대해서는각계층별보안장비에보안정책을설정하여차단을하도록하는데, 하위계층장비일수록대역폭제어를통한서버공격완화메커니즘을구동시킨다. L3/L4 시스템들을이용한공격방어방법은일반적으로정해진범위를

57 ( 그림 5-1) DDoS 공격방어를계층적방어방법 넘어가는트래픽이발생하는경우 DDoS로탐지하도록되어있으며, 일정시간동안설정치이상의트래픽이발생되면이를감지하여유입트래픽에대한임계값 (Rate Limit) 정책을동작하여대규모발생되는 Flooding 공격을차단하도록되어있다. 그러나 HTTP Get Flooding 또는 CC(Cache Control) 공격인경우에는패킷의페이로드까지분석하여유해성여부를확인하여야하는데, 특정 IP에서의공격빈도를파악하여공격자또는좀비를확인하고 Black-list를작성하여정책적용을함으로써성능을향상시키고있다. 그러나 DDoS 공격은갈수록정교해지고있으며대량의좀비들로부터소량의패킷을발생시킴으로써기존대응시스템들을무력화하는방향으로진화하고있다. 공격유형도응용계층공격이많아지고있으며다양한공격패턴을동시에혼합하여공격함으로써기존의수동적인공격대응시스템으로는실질적인서버보호가곤란해지고있다. 기존의 DDoS 공격대응시스템들은저대역 DDoS공격에대하여제대로탐지하지못하며, 특히신규로발생되는응용계층공격에대해서는정해진분석방법이확인되기전까지는탐지가어렵고, 분석되더라도 IP 및포트에대하여패킷드롭기능만을지원하는등의단점이있다. 특히, IP 스푸핑된 IP주소를사용하는 DDoS공격의경우탐지된 Black-list IP와정상적인 IP

58 를사용하는서비스요청까지도동시에드롭시키는문제점도존재한다. 일반적으로널리사용되는 DDoS 공격에대한차단메커니즘은아래의표에서보는바와같다. DNS 씽크홀메커니즘은 ISP에게할당된 IP주소로공격하는경우 DNS 질의요청시차단하는메커니즘을갖고있으며, L7 스위치로는 ACL을통하여 DDoS 공격패킷을차단하는메커니즘을가져가고있다. 또한, DDoS 공격이라고판단되는 IP 패킷에대해서는블랙홀메커니즘을통하여 IP를가상인터페이스로포워딩하여드롭시키는방법을이용한다. [ 표 5-1] DDoS 공격방어를위한방법들 구분 URL 차단 IP 차단 Port Protocol 차단 차단방법 - DNS 싱크홀 : 해당사업자에할당되지않은 IP에서 DNS 쿼리요청시차단 - L7 스위치 : DNS 앞단에서특정 URL에대한 DNS 쿼리패킷을차단 - 블랙홀처리 : 차단하고자하는 IP를가상인터페이스로패킷을포워딩하여드롭시킴 - ACL 처리 : Source IP, Destination IP, 포트별로차단 - L7 스위치 : 포트, 프로토콜별및 TCP/UDP Flooding, Payload 패턴등을설정하여차단 - ACL 처리 : 방화벽, 라우터등에서포트, 프로토콜등을 ACL로설정하여차단 제 2 절 Anycast 기반부하분산 IP Anycast는같은 IP주소를여러호스트에할당하는어드레싱모드이다. 이러한 IP Anycast를가진호스트들은 IP Anycast 그룹을구성하게되는데, 이러한호스트들을 Anycast 서버라고한다. 인터넷단말이 IP Anycast 주소를이용하여네트워크에접속하면, 네트워크에서는단말이접속된접속지역을중심으로가장가까운서버로트래픽이라우팅되도

59 록한다. 여기서가장가깝다는것은라우팅프로토콜에서사용되는 metrics의관점에서가장가깝다는것이다. 이러한 IP Anycast는라우터및라우팅프로토콜에어떠한변경을주지않고기본적으로제공하는기능이다. 이러한기능은클라이언트가위치한가장가까운서버로전달함으로써, 접속속도개선및서버간의로드밸런싱, DDoS공격에대한회복성을크게증가시킨다. ( 그림 5-2) 네트워크기반 Anycast 방법 이러한네트워크기반의 IP Anycast는클라이언트및서버에서의네트워킹구성변경을요구하지않으며, 상위응용계층서비스와의의존성도없으면서부하분산을극대화할수있는장점을갖고있다. 실제적으로 root DNS들은대부분이러한 IP Anycast 기능을통하여 DNS 질의에대한분산처리를수행하여대규모 DDoS 공격시에도피해를국소화하는효과를얻고있다. 아울러, ISP가운영하는캐시 DNS들은대부분 IP Anycast 방식을적용하여서비스를제공하고있다. IP Anycast는 AS 영역에따라내부영역 (Intra-domain) 에서는 IGP를이용하고다른 AS 영역에서는 BGP를이용하여구성이가능하다. 어느경우에든 Anycast 서버에서 Advertising하여야한다. 아래표는 Anycast 방식의장점을간략하게언급하고있다.

60 [ 표 5-2] 네트워크기반 Anycast 방법에대한장점 장점신뢰성개선로드밸런싱성능개선 내용같은 IP주소로지역적으로분산함으로써, 보다개선된서비스이용및신뢰성보장가능 Dynamic layer3 routing에대한 cost 균등배분으로 DNS 질의에대한효율적로드밸런싱가능지역적으로가장가까운서버로라우팅함으로써 DNS 질의처리성능개선 보안강화 분산된서버로 DoS, DDoS 공격대응력개선 공격의지역제한 지역에분산된서버가공격을받아서비스장애가 발생해도다른서버들의서비스는양호 클라이언트단순구성 모든클라이언트는동일 IP 로접근하므로구성편리 서버이용성개선 라우팅장애시에도다른우회루트로트래픽 포워딩가능 아래의자료를보면 DDoS 공격자와 Anycast의분산효과에대한관계를보여주고있다. 결과적으로 Anycast를많이하면할수록네트워크기반 Anycast가응용기반 Anycast보다분산효과에의한회복력이높아짐을알수있다. 실제적으로도 2007년초에 root DNS 서버에대한 DDoS 공격시에 13개의루트서버중 6개서버가공격을당했는데, 그중네트워크기반 Anycast를구축하여로드분산을한 4개의루트서버는공격에대한방어가가능하였지만, 구현하지않은 2개의서버는심각한피해를입은것으로보고된적이있다.

61 ( 그림 5-3) 네트워크기반 Anycast 이용효과 제 3 절 Netflow+DPI 적용 Netflow는시스코에서네트워크장비에서처리되는트래픽에대한세션들을계산하기위한서비스로개발되었으며, 현재트래픽기반분석및제어를위하여가장널리사용되는기술이다. Netflow는세션의흐름을플로우로정의하고, 각플로우의기본이되는출발지 / 도착지 IP주소, 출발지 / 목적지포트번호, IP 포로토콜유형을중심으로해당세션에대한이용정보를작성하기위한포맷을정의하였다. 이 Netflow를이용하면 HTTP, SMTP, UDP 패킷들에대하여세션별로구분및이용량을계산할수있기에, 해당네트워크장비로흐르는모든트래픽플로우에대한패킷사용량및정보흐름을확인할수있으며, 네트워크관리자에게일정기간동안사용된해당플로우에총량을간략하게보고할수도있다. Netflow를이용하여패킷사용량만이아니고, DoS 공격등의과다패킷

62 플로우유입량을분석할수있어사전적인과다 DoS/DDoS 공격을차단할수있는유용한정보를얻을수있다. DPI는플로우패킷에대한계층 7에해당하는모든패킷정보내용을분석할수있어, DNS 질의패킷에대한정상적인사용여부만이아니라, DDoS 공격과같은형태의 DNS 패킷에대한패킷의서술형태를분석할수있는기반이된다. ( 그림 5-4) DPI 기반 DDoS 방어방법 Netflow와 DPI기술을적용한 DNS 트래픽을분산우회하는방법은위 ( 그림 5-4) 에나타난바와같이, 네트워크장비에서 Netflow의정보를주기적으로수집하는장비가있어야하며, 수집장비는수집된정보를기반으로 DNS 트래픽의이상유무를분석하고, 분석결과 DDoS 공격징후가발견되면, 공격완화를위한프로세스를가동하게된다. 이를위하여수집및 DDoS 공격분석시스템은차단정책을제공하는정책제어시스템에게해당트래픽에대한트래픽을우회하도록요구를하게되며, 차단정책제어시스템은해당트래픽에대하여우회가가능하도록네트워크장비에게우회설정을요청한다. 이를위하여해당트래픽경로에대한 BGP 라우팅정보를제공하며, 해당네트워크장비는설정요구된

63 BGP 라우팅정보에기반하여차단정책제어시스템으로트래픽을전달한다. 차단정책제어시스템은라우팅된 DNS 트래픽에대한정밀분석을통하여 DNS 패킷에대한정상적인트래픽과비정상적인트래픽을분리하고정상적인트래픽은 DNS 서버로질의패킷을전달하여서비스가진행되도록하고, 비정상적인 DNS 패킷은필터링정책을통하여패킷을드롭한다. 이러한솔루션의선두업체인아버네트웍스피크플로우는전세계정보, 공동방어체계를활용해체계적이고단계적인 DDoS 방어를제공한다는점이특징이다. 뿐만아니라 DDoS 공격시방어는물론평상시철저한트래픽관리를통해기업네트워크를보호한다는측면에서그효용성이더뛰어나다. 특히, 지난 7.7 DDoS 공격을통해그대응력을확실히보여줬다. 아버네트웍스피크플로우를도입한정부통합전산센터의경우, 센터내행안부 G4C 사이트가공격목표가됐지만신속한대응을통해피해를최소화하고, 정상서비스를유지할수있었다고한다. 그러나이러한방법은 DNS DDoS 공격이감지될경우에만사용이가능한방법으로 ISP들과의긴밀한협조관계하에서적용이되어야만한다. 아울러, 이러한방법은전용장비의구축이광범위하게적용되어야만하는문제점을갖고있다. 제 4 절 GSLB 기반부하분산 GSLB(Global Server Load Balancing) 는인터넷네트워크여러곳에분산배치되어있는많은 DNS 서버중에서이용자 (End User) 에게최상의서비스를제공할수있는 DNS 서버를선정하여서비스를연결하는기술이다. 예를들면, GSLB는어느위치에있는 DNS 서버에장애가발생했을경우다른 DNS 서버로우회연결하여장애를해소한다. GSLB는일반적으로알려져있는 LBS 시스템들의로드밸런싱기술을확장하여서

64 버들을지역적으로분산하더라도보다빠른성능의서비스부하분산을제공하는솔루션으로많이사용되고있다. 예를들면 ( 그림 5-5) 에서보는바와같이클라이언트가로컬 DNS로 DNS 요청을보내게되면, 로컬 DNS는상위 DNS에게 upstream DNS 질의를보내게된다. 그림에서보는바와같이 B 사이트의스위치가 DNS 질의메시지를수신하게되면클라이언트에가장가까운사이트가어느사이트인지를판단하고해당사이트의 IP주소를 Local DNS를통하여클라이언트에게전달하게된다. 해당클라이언트는사이트 B의주소로접속하여해당 DNS 정보를얻어오게된다. 아울러, 각사이트에구축된 DNS 서버들을주기적으로체크하여서버장애등을감지할수있는기능도당연히존재한다. GSLB는지역적으로분산하여야하는서비스에적합하기에예측이불가능한재해에대한피해최소화를위하여금융권의데이터센터이중화, 재난복구센터구축등에많이이용되고있는방법이기도하다. 특히, GSLB는대륙이나 ISP에따라가장빠른방법으로최소한의라우터만을거쳐원하는서버에접속이가능하도록하는방법이다. GSLB는 DNS 서버간에주기적으로 Health 패킷을보내어서버의응답, 손실여부등을고려하여지역적으로가장최적인라우팅매트릭스를계산하고, 해당지역으로부터의 DNS 질의요청시가장빠른응답이가능한 DNS 서버로접속을하도록하여서비스분산을시켜줄수있다. DNS 서버들은서버과부하또는 DDoS 공격, 링크장애등이발생하면 GSLB는이러한응답정보를종합하여해당라우팅매트릭스를작성할수있다. DNS 구축에 GSLB를적용하면아래와같은장점들이있다. - 지능적인 DNS 서버기능제공 : 실제적인 DNS 서버접속 IP주소제공 - 서비스상태, 성능정보수집을통한최적경로서버연결기능제공 - Round-robin 등의트래픽의효율적분산처리기능 - QoS 분산처리기능

65 - 장애시우회접속기능 - 임계치 / 한계치기반자동우회접속기능일반적으로 GSLB는 L4 같은고가의장비로구성하여사용하는데 Cisco의 4492R 나 F5의 3DNS 장비등이있다. 하지만엄청난고가의장비로일반중소규모의업체들이사용하기에는투자비용이큰단점이있다. 현재 DNS 서비스의중요성을인식하고있기에전세계에지역적으로분산하여 DNS 서비스를제공하는업체들은이러한방법을이용하여서비스를제공하는경우가많다. ( 그림 5-5) GSLB 를이용한 DDoS 방어방법 제 5 절클라우드기반부하분산 클라우드서비스는별도로운영되는서비스자원들의가용성을높이면서, 다수의서버들의자원을활용하여처리성능을극대화하기위하여나온기술이다. 클라우드는물리적자원의가상화인 IaaS(Infrastructure as a Service) 서비스, 서비스플랫폼을가상화하기위한 PaaS(Platform as

66 a Service) 서비스, SaaS(Service as a Srevice) 서비스로크게나누고있다. 클라우드서비스는가상화기술의확장으로단말가상화를비롯하여최근에는모바일단말에대한서비스들은거의상당수가클라우드기반으로서비스가제공중인추세이다. 클라우드기반 DNS 구축은 DNS 서버를지역적으로분리하여구축하고, 이들을클라우드상에서서비스하는방법을의미한다. 일반적으로 Cloud기반 DNS 서비스제공업체들은크게물리적인위치를 Anycast 방식으로연동하여서비스를제공하는데, GSLB를이용하여접속클라이언트에가장근접한위치에있는 DNS 서버에서서비스를제공하도록하는방법이다. 이러한방법은기술적으로앞절에서언급한절차에따라서비스를제공하는방법으로, 용어적으로클라우드라는의미를사용하는것으로이해된다. 국내의씨디네트웍스를비롯하여, DNS Made Easy, DynDNS 등이이러한방식을이용하여전세계적으로인터넷서비스를제공하고자하는호스트들을대상으로호스팅서비스를제공하고있다. ( 그림 5-6) 클라우드기반 DDoS 방어방법

67 또한인프라기반이아닌클라우드플랫폼기반하에 DNS 서비스를제공하는방법이있다. 이러한방법은클라우드서비스엔진을제공하는구글이나아마존의클라우드플랫폼을이용하여 DNS 호스팅서비스를제공하는것이며, 아마존 Route53, 구글 DNS, OpenDNS 등이클라우드기반 DNS서비스를제공하고있다. 이러한방법은순수클라우드서비스에가장근접한 DNS 서비스제공방법으로각도메인네임데이터들을클라우드환경에맞게지역적으로분산하여관리하며, 클라이언트로부터 DNS 질의가들어오면, 해당클라우드엔진을통하여구글검색에서보는바와같이분산저장된 DNS 도메인정보를찾아서서비스를제공하는방법이다. 아래그림은하나의예로써 RACKPAGE DNS 서비스를제공하는방법이다.

68 제 6 장 DNS 대피소모델 DNS서비스를제공하는업체들은앞에서도언급하였듯이크게보면, root 도메인서버, cctld, gtld DNS 서버운영업체들이있으며, 그하위계층에권한위임을받은 DNS 서비스를제공하는 DNS 호스팅업체들과, 일반단말이용자들의인터넷접속서비스를제공하는 ISP들이운영하는캐시 DNS가있다. 또한학교, 공공기관등의일정규모이상을수용하는기관들은기관내부의서비스보호및보다빠른 DNS 서비스제공을위하여별도의 DNS를운영하고있다. 일반적으로상위계층의 DNS 및캐시를운영하는 ISP들의캐시 DNS는장애발생또는 DDoS 공격에의한서비스거부가발생되면그파급효과가전방위적이기때문에엄격한 DNS 서버관리및 DNS 장애를극복하기위한네트워크인프라를구축하고있으며, DDoS 공격방어를위한트래픽분산제어정책을도입하여안정적이면서신뢰성있는서비스를구축하여운영하고있다. 또한, 일부 DNS 서비스호스팅업체들도 GSLB/SLB를이용하여 DDoS 공격및서비스장애시에트래픽을분산하는방법및우회하는방법들을이용하고있다. 그러나이러한 DNS 서비스대한 DDoS 공격방어및우회전략을도입하기위해서는매우고가의시스템들을구축하여야하기에소규모로 DNS 서비스를운영하는중소업체들은 DDoS 공격에취약한구조로서비스를할수밖에없는상황이며, 서비스장애시에도전문인력을동원하여빠른시간내에서비스를정상적으로복구해야만하는한계를갖고있다. DNS 서비스대피소모델은위에언급한바와같이 DDoS 공격에취약한중소규모의 DNS 서비스업체들에대한 DDoS 공격을대비하여사전트래픽분산및 DDoS 공격시에효과적으로대피소를이용하여보다안정적인서비스제공및 DDoS의사전공격탐지능력을제공함으로써 DNS 서비스의신뢰성을제고하고 DNS DDoS 공격의파급효과를최소

69 화하는데그목적이있다. 제 1 절기존부하분산방안의문제점분석 DNS 대피소모델을정립하기위해서는 DNS 서비스운영업체들간의네트워킹이슈, DNS 서비스망구축, DNS 트래픽에대한처리방안, 도메인등록 / 관리에대한협력및 DDoS 공격시에공격차단을위한메커니즘에대한상호협력등의다양한전제조건에따라망구성이달라질것으로예상된다. 첫번째는 DNS 트래픽의부하분산및 DNS DDoS 공격완화를위한대피소의활용방안에대한고민이다. 그리고대피소 DNS 구축을통하여 DDoS 공격확산을방지하기위한공격징후탐지및분석방안에대한고민이중요하다. 앞장에서언급하였듯이 DNS 서비스대한 DDoS 공격방어를위하여일반적으로사용하는방법은 DDoS 공격완화를위한부하분산이다. 이러한방식은크게 Anycast 방식, GSLB/SLB 방식, NetFlow+DPI 방식, 클라우드방식이존재하는데, 이러한방식들의 DNS 대피소모델적용방안및적용상의문제점들을간략하게언급하고자한다. 1. 네트워크기반 Anycast 방식문제점 네트워크기반 Anycast 방식은지역적으로서버들을분산구축하고, 하나의 IP 주소를이용하여단말이접속된지역에가까운서버로서비스접속이되도록하는네트워킹기술이기에, 대용량캐시 DNS 서버운영업체인 ISP들이가장많이사용하는방식이다. 그러나 DNS 대피소를위하여 Anycast 방식을적용하기위해서는 DNS 운영업체들의서버 IP주소가동일하게해야하는문제점을안고있다. DNS 서버운영업체들은서로다른 IP 영역을사용하고있으며, 네트워크사업자로부터서브넷기

70 반의 IP 주소풀 (pool) 을할당받아서비스를제공하기에 IP 주소풀의 DNS 서버 IP 주소만을별도로모아 ISP 사업자에게복수의 Anycast 서비스를적용하도록요청하기에는상당한주의를요하는작업이될것이다. DNS 서버단에위치한라우터장비를이용하여 Anycast IP주소정보를 ISP에게전파함으로써쉽게 Anycast가가능하다. 그러나 Anycast를위해서는 Anycast IP 주소를 DNS 서비스운영업체와협의하여 Anycast 정보를전파하여야함으로, 각 DNS 서비스운영업체의 DNS 서버 IP주소를일치화하는과정이요구된다. 또한네트워크기반 Anycast 방식은클라이언트가 DNS서비스를요청한위치에가장근접한위치에있는 DNS 서버에접속하도록하는방식- 정확히말하면라우팅기반목적지주소에대한매트릭 ( 라우팅홉 )-이기에 ISP가 DNS 서버운영업체가속한 ISP와다른 ISP로부터유입되는 DNS 트래픽이대피소 DNS 서버로만전달되어본연의 DNS 운영업체의서비스를대행하는것처럼보일가능성이높다. ( 그림 6-1) Anycast 방식적용

71 결과적으로대피소 DNS로트래픽이집중화되어목적한바의 DNS 대피소역할이희석될수밖에없을것이다. 다만트래픽의분산및경로정보관리측면에서 IP라우팅계층을통해구현함으로타기술보다쉽게접근및구현이가능한이점을가지고있다. 2. Netflow+DPI 방식문제점 Netflow+DPI 방식은일반적으로 ISP들의라우터로부터패킷플로우에대한수집장치가필요하며, 이를근거로 DNS 트래픽의과다유입을판단함으로써별도의스크리닝시스템으로트래픽들이전달될수있도록네트워크장비에라우팅변경을요청하고입력되는 DNS 패킷들을세부적으로분석하여유해한 DNS 패킷들은사전차단하고정상적인 DNS 트래픽만이서비스가되도록하는방식이다. 이방식은일반적인상황에서는 DNS 서비스운영업체에서 DNS 서비스를제공하며, 라우터로부터수집된트래픽을분석하여트래픽과부하또는 DDoS 공격이예상된다고판단되면, DNS 서비스제공업체의 IP 주소에대하여 ISP에게 BGP 또는리다이랙션정책적용을요청함으로써대피소 DNS로트래픽이유입되도록한다. 대피소 DNS 구간에서는스크리닝시스템을이용하여공격이라고판단되는패킷은차단하고정상적인패킷에대해서는 DNS 서비스운영업체로전달하여서비스가되도록한다. 이러한방식을적용하기위해서는 DNS 서버운영업체들과상호협력방안을통하여라우팅정책적용에대한기준을마련하고대피소는수집장치및스크리닝시스템을별도로구축하여운영하여야한다. 아울러 ISP 라우터로부터트래픽수집을하여야하는데, 트래픽수집을위한협력을얻는것이매우어려울것으로예상된다. 또하나의방법으로는 DNS 운영업체의 DNS 전단라우터를대상으로트래픽수집하여분석하는방법이다. 이를위해서는 DNS 운영업체는 Netflow 기능을갖고있는라우터를추가구축하여야한다.

72 그러나이방식은라우터트래픽을수집하여분석하기에 DNS 트래픽의과부하에대한기준및정상 / 비정상 DNS 패킷의구분이근본적으로어렵다는단점이있다. 또한점점더지능화되고대규모좀비들을이용한소규모공격을통한 DDoS 공격에대한사전분석이어려운단점이있다. 그리고정상적인 DNS 패킷에대한분리및 DNS 운영업체서버로트래픽을전달하기위한스크리닝시스템개발이선행되어야만한다. DNS 스크리닝시스템의주요기능은아래와같다. - 라우팅정책관리 - DNS DDoS 공격패킷분석 - 정상 / 비정상 DNS 패킷분류 - 정상 DNS 패킷포워딩 - White-List/Black-List 관리 - DNS 운영업체 DNS 서버 Health Check ( 그림 6-2) Netflow+DPI 방식적용

73 3. GSLB/SLB 방식 GSLB/SLB 방식은 ISP와무관하게자체망으로구성이가능한방법으로, 기존의로드밸런싱기능을갖고있는 L4 장비를좀더기능적으로고도화하여지역적으로분산된서버를두고서비스가가능하도록하는방법이다. GSLB/SLB는서버의분산을통한서비스부하분산, 서버장애에대한우회기능들을효과적으로수행하도록하여자체망을통한전국적인서비스를하기에는매우적합한방법이다. 이방식은각 DNS 서버운영업체의트래픽을하나의 GSLB/SLB 장비로모아분산하는방법을적용하던지, 각 DNS 서버운영업체들에전부 GSLB/SLB 장비를구축하여각서버로유입되는트래픽을최상의조건에있는서버가처리할수있도록트래픽을분산하는방법으로적용할수있다. GSLB/SLB는각 DNS 운영업체와논리적인네트워크구성을통하여각 DNS의부하상태등을검사하여가장최적의 DNS 서버에접속하여서비스가되도록할수있다. 그러나 GSLB/LSB 장비를추가구축하기에구축비용및운용비용부담이크며, DDoS 공격대응시스템구축은별도로고려되어야한다. 아울러 DNS 운영업체들의서버성능이높지않은상황에서는대피소 DNS로부하가집중되는문제점도안고있기에각 DNS 운영업체들간의부하분산방법, 우회조건등에대한정의를하여야한다. 4. 클라우드방식 클라우드방식은클라우드플랫폼에의존하여서비스가되므로, 클라우드서비스를제공하는업체의자원을임대하여클라우드플랫폼의기술에맞게적용하여야한다. 클라우드는실제추가구축비용없이필요한자원을임대받아서비스를제공할수있는장점과기존서버집중화된서비스보다높은성능을제공할가능성이높다.

74 ( 그림 6-3) GSLB 방식적용 그러나이러한서비스를제공하기위해서는클라우드플랫폼에맞는 대피소 DNS 서비스프로그램을개발하여야하는단점이있어, 구축및 운용에상당한기간을필요로한다. 제 2 절대피소모델적용을위한고려사항 앞에서도언급하였듯이 DNS는인터넷서비스를위한가장핵심적인인프라이지만, DNS 서비스는매우간단한 UDP 프로토콜을이용하여누구나쉽게접근이가능하고, 방화벽등을이용하더라도차단이곤란한특성을지니고있으므로 DDoS 공격에매우취약하다. 이러한공격에서비스보호를위하여일반적으로고려되는방법은호스트등록시여러 DNS 사업자에분산등록하여특정 DNS 운영업체서버가서비스거부를당하더라도다른 DNS 운영업체가서비스를제공할수있도록하거나, Anycast 등을이용하여지역적으로 DNS 서비스를제공함으로써대규모

75 DDoS 공격이진행되더라도국소적으로영향을받도록운영하고있다. 이러한 DNS 트래픽완화방법도최근 DDoS 공격사례에서나타났듯이실제적인대규모공격에는속수무책으로당할수밖에없을경우도발생한다. 아울러, DNS는체계적으로분산되어구축되어있다. 일반적으로일반단말이 DNS 질의를요청하는경우에 ISP가제공하는캐시 DNS 주소로접근하게되고, 캐시 DNS는 root DNS로부터해당사이트주소가있는서브도메인 DNS까지일련의질의 / 응답과정을거쳐실제적인 IP주소를제공하는데, 각 DNS 서버들은그용도및수행주체별로위에언급한다양한 DNS DDoS 공격에대한보완대책을마련하고있다. 그러므로본장에서는다양한 DNS의특징들을고려하여 DNS 대피소에적용이가능한 DNS를분석하고, 대피소모델에적용하기위해서고려되어야할사항들은어떤것들이있어야하는지와대피소와연동하여서비스를제공할경우, DNS DDoS 공격에대한징후를확인하고확인된공격징후를관리하는방법및대피소를이용하는 DNS들의운영방안들을언급하고자한다. DNS 서비스 DDoS 공격완화및사전징후탐지및분석을위한 DNS 대피소적용을위해서는아래의사항들이고려되어야한다. 1. 대상시스템 DNS 서비스를위한시스템들은크게캐시 DNS, 권한위임 DNS로분류가가능하며, 권한위임 DNS는그역할에따라 root DNS, tld DNS, 서브도메인 DNS로구분이가능하다. 앞에서언급하였듯이각사이트의실제적인도메인네임을갖고있는서버는서브도메인서버이다. 서브도메인서버는사이트를운영하려는고객으로부터해당 IP주소에대한도메인네임을등록받아이를운영 / 관리하면서 DNS 서비스요청시해당사이트에대한 IP주소를제공하기도하며, 반대로 IP주소에대한도메인네임을알려주기도한다. 일반적으로 root DNS, tld DNS는전세계적으로

76 공인된기관에서등록및관리를하고있으며, 도메인네임에대한상위기능을담당하고있기에매우안정적으로관리되며, DDoS 공격등을대비한분산화메커니즘및 DDoS 대응시스템들을도입하여운영하고있어 DDoS 공격에의하여쉽게서비스거부가발생되지는않는다. 권한위임 DNS는실제관리되는도메인네임정보를제공하는시스템으로기업또는호스팅업체들이운영하고있다. 주로기업은자신의사이트관리를위하여서버를운영하기에도메인네임설정및서비스업데이트등의기술전문성이약한상황이며, 호스팅업체들은도메인에대한권한을위임받아서비스를제공하는데, 하나의서버에수천 ~ 수만규모의도메인네임들을관리하기에수익성이높지않다. 그러므로호스팅업체또는기업은 DNS 서비스에대한 DDoS 공격에대한방어시스템을구축하여체계적이고안정적인서비스를제공하고싶지만, 수익성대비구축및운영비용이효과적이지않은한계를갖고있다. ( 그림 6-4) 는 DNS 서비스를위한각 DNS의역할및운용기능을간략하게보여주고있다. 실제도메인네임정보를제공하는서브도메인 DNS에대한취약성이 DDoS 공격의핵심대상이될수있으며, DNS 대피소모델에서도호스팅업체의 DNS의생존성과안정성을위한부하분산및보안방안을우선적으로고려하여야한다. 특히, 수많은도메인을하나의서버에운영하다보니 DDoS 공격이나기타장애로인하여사회전반적으로피해효과가크게나타날수있다. 그러므로서브도메인 DNS를운영하는호스팅업체 DNS를대상으로대피소 DNS 서비스를제공함으로써 DDoS 공격완화및공격대응체계를고민할필요가있다.

77 ( 그림 6-4) DNS 기능별및주요특징 2. DNS 트래픽부하분산방법 호스팅업체 DNS는일반적으로자체적으로서버들을구축하여내부적인로드밸런싱을통하여하나의서버에장애가발생하더라도다른서버가정상서비스를하는구조를갖고있고일부는로드밸런싱이아닌 1 차, 2차 DNS 서버구성으로서비스를제공하기도한다. 이러한구조를고려해볼때대규모 DNS DDoS 공격또는자체 DNS 장애및링크장애로인하여정상적인서비스가불가능할경우가발생할가능성이큰것이현실이다. 그러므로호스팅 DNS에대한서비스장애가발생하더라도중단없이 DNS 서비스를제공하기위해서호스팅 DNS 업체에서비스등록을할때, 대피소 DNS에도동시에등록하여대피소 DNS를통한서비스가가능하도록함으로써대규모 DDoS 공격에따른피해를줄일수있다. 대피소 DNS에도메인네임등록이완료되면, 호스팅업체는대피소

78 DNS 정보를포함한 NS 정보를 cctld 등에등록한다. 그리고 cctld에서 NS 정보제공시 Round-Robin 방식 - 대부분의 DNS 설정시초기설정값 - 으로 NS 주소정보를제공하면순차적으로호스팅업체 DNS와대피소 DNS의접근이가능하게된다. 이에대한논리적구성은 ( 그림 6-5) 에서보는바와같이호스팅업체는자신을관리하게될 cctld 등에자신이갖고있는 DNS 주소와함께대피소 DNS 주소를포함하여도메인을등록한다. 그러면, 캐시 DNS가주기적으로 cctld에게해당사이트주소를관리하고있는 DNS 주소를요청하게될때 cctld는요청시마다우선적으로 NS 정보를얻어야할 DNS 주소를 Round-Robin 방식으로제공하게된다. 그러면, 캐시 DNS는도메인네임정보를얻기위하여가장우선적으로표시된 DNS 주소로질의 / 응답절차를진행하게될것이다. 예를들면, 캐시서버가처음 cctld로요청하면, 가장우선순위가높은 1차 DNS 주소를이용하여도메인네임정보를얻게되고, TTL이경과한후다시요청하게되면 2차 DNS 주소가가장우선순위가높게되어 2차 DNS 서버로부터도메인네임정보를얻게될것이며, 그다음은대피소 DNS로부터도메인네임정보를얻어서서비스를하게될것이다. 이러한 Round-Robin 방식의 DNS 접근방법은모든 DNS가동시에 DNS 서비스가가능하도록하는장점으로 DNS 부하분산이가능하기도하지만, 대피소 DNS 구간에는보다강력한보안및방어메커니즘을구축하여호스팅 DNS 업체의서비스거부를최소화할수있을것이다.

79 ( 그림 6-5) NS 의 Round_Robin 처리메커니즘 3. 대피소보안시스템운용 호스팅업체 DNS의부하분산을통한 DNS 서비스연속성을보장함으로써서비스의가용성은높아질수있다. 그러나 DDoS 공격은갈수록정교해지고새로운변종패턴들은정상적인패킷처럼위장하여공격을하기에, 기존보안및 DDoS 대응체계를무력화시킬수있다. 그러므로 DNS 대피소는기존영세호스팅 DNS 서비스를보호하기위한보다강력한보안시스템을구축하여서비스의가용성을높이도록할필요가있다. 예를들면, 비정상형태의 DNS 패킷들은서버에부하를주지않도록사전차단하고, 일반적으로알려진 DNS 공격에대한방어체계를구축함과아울러 DDoS 공격징후를사전탐지하여예상되는대규모공격에대비하기위한대응체계를구축할필요가있다. ( 그림 6-6) 은서비스거부를유발하는다양한패킷들에대하여일반적으로구성하는보안시스템구축으로이해해도무방하다. 다만용도에따른방어및대응전략이조금씩다를수있다.

80 ( 그림 6-6) 대피소보안시스템주요구성 ISP 라우터 ISP 라우터는인입되는트래픽중해당포트에대하여임계값설정하여공격 IP로판단되면 Null0 라우팅처리를하여 ICMP, UDP 플러딩공격을방어할수있다. 이러한플러딩패킷들은자원고갈형대역폭공격으로네트워크상의모든서비스에장애를유발할가능성이높기에주요세션들에대해서사용량근거로일정범위를넘어서는패킷에대해서는 ISP 라우터에서 Null0 라우팅처리를함으로써 1차적으로서비스를보호하는방법이다. 이러한방법은 IP 기반으로동작하기에대량공격이라고판단될때 ISP로 Null0 라우팅요청을통하여동작하도록한다. 아울러, Null0 라우팅을위한추가적인기능으로 urpf 등을사용하여출발지주소를검증하여처리하는방법도있다. 또한, DNS와의부하분산방법으로네트워크상에여러지역으로 DNS를분산한후 Anycast 방식을적용하여여러서버로트래픽부하분산이가능하도록한다. 또한, 대형 ISP 캐시 DNS 서버의 IP 주소에대하여출력포트에 Priority Queueing 방식을적용하여대량의대역폭공격환경에서도서비스가지속되도록할필요가있다. Priority Queuing은정상적인캐시 DNS 서비스를보장하는방

81 법으로대규모 DDoS 공격시에도서비스를보장하는좋은방안이기도 하다. 경계라우터경계라우터는대피소로인입되는지점의라우터로단순한비정상패킷들을라우터에서받아들이지않도록설정하여, Tear Drop, Land Attack 등의공격을방어하는데사용된다. 특히, IP 스푸핑또는사용되지않는 IP 주소들로입력되는패킷들에대하여차단하는기능을갖출필요가있다. 또한특정지역에서입력되는공격이라고판단되면, 해당지역의 IP 대역에대하여 Null0 라우팅처리를통하여후단의서비스에장애가발생되지않도록한다. 보안장비 (UTM 또는 XTM) 통합형보안장비 ( 방화벽, 안티바이러스, IPS, DDoS 차단등 ) 를이용하여알려진이상트래픽차단, 시그니쳐기반 DoS 나 DDoS 차단을수행한다. 특히 DoS와 DDoS 특화된방어장비는정상적인패킷포맷으로입력된응용레벨의공격에대하여시그너쳐를분석하여공격여부를판단하는시스템이다. 이러한시스템들은일정시간로그및공격정보에대한유형을분석하여 DDoS 공격의특성및공격에대한사전판단이가능하다. 특히, DDoS 공격이대량의좀비들을이용한소규모의공격으로진화함에따라, 시그너쳐만이아니고일정기간동안의행위를분석하여야만보다정교한 DDoS 공격대응이가능하게된다. 로드밸런서대부분의 DNS 서버설계시확장성부분과안정성부분을고려하여로드벨런서 ( 부하분산 ) 시스템을일반적으로적용한다. 이를통해안정적인서비스를보장하게된다. 본대피소모델의관점에서는 DNS 서비스질의는캐시 DNS로부터의접속이대부분이다. 그러나공격의도를갖고있는캐시서버들은일반적으로정상적인서비스요청의경우는거의없

82 고새로운접속을시도할경우가많다. 그러므로정상적이라고판단되는캐시 DNS의서비스는정상적으로허용할수있도록 ISP라우터에서적용한 QOS 방식을최종 DNS 서버앞단로드밸런서에도 QoS 기능을적용하여대다수의정상이용자에대한서비스는보장하도록하여야한다. 정상사용자의 IP에대해서는별도의관리를통하여입력되는트래픽에대하여우선처리가가능하도록함으로써서비스의가용성을높일수있다. 이를위해실시간 Rate-Control 및 Black-List 연계를통한동적적용이필요하다. 로드밸런서는 DNS 서버에대한다양한상태정보를모니터링하고이를토대로최적으로 DNS 서비스가가능하도록트래픽을분산처리하는부분역시기본적으로함께고려되어야한다. 4. 공격징후분석및방어메커니즘 서버의입장에서보면 DDoS 공격은일반적으로대규모공격을하기전에평상시보다 2~3배많은트래픽이유입되기시작하면서시작된다. 이러한패킷유입은 DNS에도착하기전에사전보안시스템에서도나타날수있으며, 서버처리과정에서도확인이가능하다. 공격유형에대한확인과정은패킷들의이용패턴및세부시그너쳐들을분석하기도하여야하지만, 최근에는행위기반 DDoS 공격이많아지기에보다정교한분석메커니즘을이용하여야만 DDoS에대한가능성을확인할수있다. 이러한 DDoS 공격여부를사전에파악하기위해서는각보안시스템으로부터비정상이라고판단되는패킷정보들을수집하여패킷패턴에대한위험성을분석하여대피소에구축된각시스템들을이용하여사전방어가가능하도록하여야한다. ( 그림 6-7) 은대피소 DNS시스템구축에대한정보수집및조치에대한개략적인역할들을보여주고있다.

83 ( 그림 6-7) DNS 패킷이상징후수집및분석메커니즘 제 3 절대피소구축운영모델 대피소 DNS 구축을위한앞절에서언급한고려사항을정리하여보면아래와같다. - 호스팅 DNS에대한대피소 DNS 활용 - DDoS 공격완화및이상현상분석을위하여대피소 DNS를보조 DNS로활용하되, Round-Robin 방식으로 NS 정보제공 - DNS 서비스패킷들의과도트래픽유입및 DDoS 공격방어를위한강화된방어시스템구축 - 다양한공격징후및패턴분석을위한분석및대응시스템운용 위가정을근거한대피소 DNS 운영모델은 ( 그림 6-8) 과같다. 호스팅업체는대피소 DNS를추가보조서버로운영하도록하고, 호스팅업체에서대피소 DNS를 Zone 동기화하도록한다. 이는전적으로호스팅 DNS 업체의협력체계를구축하여야만가능하게된다. 아울러호스팅

84 DNS 업체는상위도메인 ( 예 : tld DNS) 서버에게해당 NS 정보를제공한다. 다만, 상위 DNS는해당 NS 정보를요청하게될때, Round-Robin 방식으로 NS 정보를제공하도록한다. 이후의절차는일반적인 DNS 질의처리절차에의거하여서비스가제공될것이다. 그결과로, 대피소 DNS 서버로의 DNS 질의요청이들어오게되고, 대피소 DNS는해당 DNS 요청패킷들을분석하고정상적인서비스가가능하도록하며, 강력한보안메커니즘에의하여다양한방어체계를수행하게될것이다. 대피소 DNS에구축된 DDoS 대응분석시스템은보안시스템들로부터수집된이상패킷들의공격징후에대한분석및 DDoS 공격시해당공격패턴들을신속하게분석하여 DNS DDoS 공격에대한조기방어및차단정책을수행하여 DDoS 확산을방지하게된다. ( 그림 6-8) 대피소 DNS 운영모델 대피소 DNS 를운영하기위해서는호스팅 DNS 업체의도메인등록정 보를공유하여야하며, 필요시 TTL 조정등을통하여보다효과적으로 대피소 DNS 를운영하도록할수있다. 아래에는대피소모델을운영하

85 기위하여필요한핵심적인기능들을언급하고자한다. 1. 도메인서버간 Zone 동기화 ( 대피소 ~ 호스팅사업자 ) 다양한호스팅사업자들의 DNS는개별업체의특성에따라독자적인 GUI와 API연동을통해개별적인관리및운영을하고있다. 이러한환경에서의대피소 DNS 연계를위해서는별도의응용어댑터 (Application Adapter) 개발이요구되며해당시스템은최소한의 Zone 동기화와필요시 RR에대한 TTL 값변경을통해 DNS DDoS 공격시방어기능과대피소웹페이지주소로의리다이렉션기능이수행되도록한다. 단, Zone 동기화주기와방식에대한세부적인부분은구현과정에서일정부분최적의값을위한시뮬레이션과정이요구된다. 2. 대피소도메인서버 Anycast 적용 대피소 DNS의분산구성을위해서는기존사업자와대형도메인서버의서비스분산모델로안정성이입증된 Anycast 기술을통해구현한다. 특히 ISP별로 Anycast IP주소를달리하여 ISP로부터의유입되는트래픽별로대피소 DNS를운영할수도있다. Anycast를이용하는방안들은추후세부적으로언급할것이다. 3. QoS 정책활용및적용 DDoS 공격과같이대규모공격시기존 DDoS방어체계만으로서비스보장이불가능하다. DDoS 공격에대한방어시스템측면에서도오탐에대한부분을고려한다면알려진시그니쳐기반의공격에대한대응으로적극적인방어전략을구현하기힘들기때문이다. 이러한경우대부분의사용자가이용하는대형사업자의캐시 DNS들에대한주소를사전에파

86 악하여해당 IP 주소에대한우선처리 QoS 정책을 ISP 라우터에직접적용하여대피소연결구간대역폭이고갈된상황에서도 ISP 캐시 DNS의요청에응답이가능하도록구현할경우최악의서비스중단까지는막을수있다. 단, 사업자와의사전공감대및적용에대한협조가요구된다. 4. 강력한안티 -DDoS 환경구축 DDoS 공격에대한인지뿐만아니라기본적인이상트래픽에대한차단또한안정적인 DNS 서비스구현을위해요구된다. 이를위해 UTM이나 XTM과같은통합보안기술을이용하여방화벽, IPS 등을함께구현할필요가있다. 이를통해보안영역의방어수준을극대화하게된다. 특히, 이러한통합보안기술들은최근병렬처리구조를탑재하여 DNS 관련패킷처리시지연시간등의문제를최소화하는것이가능하다. 5. 동적 Rate-Control 및로드벨런싱 DNS 질의의특성상과도한질의를발생하는단말이나캐시 DNS에대해서는전체적인서비스보호를위해 DNS 질의개수를제한할필요가있다. 물론평상시에는제한을둘필요가없겠으나, DDoS와같은공격징후가평상시와다르게나타날경우서비스중단을미연에방지하기위해동적인 DNS 질의갯수제한이요구된다. 이러한정책의적용시반드시 Black-List 와 White-List 구별이요구되며우선적용은 Black-list 기반적용차단을기본으로하면서단계별방어시나리오를구축하여순차적인 Rate-Control 기능을구현할필요가있다. 6. 이상트래픽 ( 쿼리 ) 분석및기존 Black-List 통합 DNS 질의를수행하는다양한단말과캐시서버에대해지속적인트래

87 픽모니터링이요구된다. 최근공격유형을볼때사전분석이실질적인공격시방어모델로적합한부분이있다. 분석과정은보안장비에서축적된로그나보고서정보, 로드밸런서에의한 DNS Rate 분석, DNS에서발생되는 DNS 응답정보에대한 OPCode 분석등다양한정보를기반으로한복합적인분석의접근이요구된다. 이러한분석을통해 Black-List 를생성하고, 해당리스트에대한단기, 중기, 장기분석을통해 Black-List내의 IP 주소에대해서도수준별분류를해나가야한다. DDoS 의공격에의한정책적용또한단계별적용전략을통해선의의피해자를극소화하는것이요구되기때문에수준별분류는반드시요구된다. 또한, 이러한 DNS 서비스이용자측면의 Black-List는기존운용중인대피소내의 Black-List나 Zombie-List와함께상호분석하는것도보다효과적인방안으로본다. 다만서비스형태가틀린부분을감안한다면상호데이터의비교는일정부분제한을두어야한다. 제 4 절대피소 DNS 의부하분산방안 대피소 DNS를이용한호스팅업체 DNS를보호함과아울러, 서비스의연속성을보장하는구축방안은 DNS 서비스의생존성을강화하는방법이다. 그러나좀비들에의한 DDoS 공격은갈수록대규모화되고있어실제적으로수십 Gbps급의동시공격으로밴드폭등의자원을고갈시키는방법으로전개되고있어, 대피소 DNS를구축하더라도자원고갈형공격에는그한계가있을수있다. 그러므로대피소 DNS를서버팜으로구성하기보다는지역적으로분산시켜최후의서비스보루인대피소 DNS 의안정성을보장할필요가있다. 이러한방법은보다안정된대국민서비스를보장함으로써강력한 DDoS 공격에도생존성을강화하는방법이된다. 이를고려한대피소모델은크게두가지로정리할수있다. DDoS 공

88 격에대한최악의순간에도대피소의생존성을위하여대피소 DNS는여러곳에분산되어있다는가정을할필요가있다. 이를위한첫번째는부하분산을위한 Anycast 방식을적용하여서비스생존성을보장하는방법과두번째는프락시를이용하여부하분산을통한서비스생존성을보장하는방법이다. Anycast 방식은 ( 그림 6-9) 에서보는바와같이네트워크에서가장가까운지역으로 DNS 질의를전달하는방법이다. 이러한방법은 ISP의캐시 DNS 또는 root DNS에많이적용된방법으로적용이보다쉬우며안정적으로동작이가능한방법이다. 프락시방식은 ( 그림 6-10) 에서보는바와같이네트워크상에프락시를두고, 이프락시가 DNS 질의정보를수신하도록하고, 수신된질의에대하여프락시와대피소 DNS간에연동을통하여 DNS 질의에응답하는방법이다. ( 그림 6-9) 개방형서비스모델구성

89 ( 그림 6-10) 은닉형서비스모델구성 1. 개방형 (Anycast 기반 ) 서비스모델 개방형서비스모델은호스팅업체와대피소 DNS를 Zone 동기화하고, cctld에 1,2,3차에대한 NS 정보를제공하고, 대피소는부하분산차원에서 Anycast 방식을적용하는방법이다. ( 그림 6-11) 에서보는바와같이호스트가 DNS 질의를하게되면, cctld는해당도메인에대한 1,2,3차에대한 NS 정보를 Round-Robin 방식으로제공하게된다. 여기서호스트는일반적으로는캐시 DNS에해당되지만, DDoS 공격을시도하는호스트일수도있다. 호스트는해당 NS에대한정보를기반으로가장우선순위로설정된 NS 정보를이용하여서비스를받게된다. 이럴경우, 1차,2차,3차가골고루서비스가가능한형태로서비스가진행된다.

90 ( 그림 6-11) 개방형서비스구성도 Anycast는요청되는 ISP별로구분하여적용이가능할것이며, 해당 ISP 별에서요청되는 DNS 질의는해당지역의 Anycast 기반으로인접된대피소 DNS로전달될것이다. 본서비스모델을적용하기위해서는사업자구간에는 BGP를이용한 Anycast가적용되어야한다. 그리고캐시 DNS로가장하여접근하는악의의호스트도있을수있기에필요시양호하게운영하는 ISP 캐시 DNS 로부터의 DNS 질의에대해서는 QoS 정책을적용하여우선처리가가능하도록함으로써, 선의로이용하는 DNS 서비스에대한보호방안을강구할수있다. 대피소구간은라우터, 보안, 정책제어등을통하여입력되는 DNS 질의에대하여실제적인트래픽 QoS 제어및비정상트래픽에대한차단, 일정이상의 DDoS 공격트래픽에대한임계값및 DDoS 공격이예상되는 DNS 질의트래픽에대하여사전분석메커니즘및차단정책을적용한다. 또한, 입력되는 DNS 패킷에대한다양한로그를수집하여분석함

91 으로써, 예상치못한 DDoS 공격징후들을분석하고이에대한사단조 치를취할수있다. ( 그림 6-12) 개방형서비스구성에따른구간별역할 ( 그림 6-13) 은 DNS 서비스절차를보여주고있다. 그림에서보는바와같이, 호스트가 cctld로 a.co.kr에대한주소를요청하면, 미리등록되어있는 1,2,3차 NS 정보를호스트에제공한다. 제공된 NS를기반으로서울호스트는우선적으로 1차 DNS에 IP주소정보를요청하게되고, 응답에실패를하게되면 2차 DNS로 IP주소정보를요청한다. 1,2차 DNS로부터주소응답에실패를할경우, 대피소 DNS 주소로질의를보내게된다. 그결과, 대피소 DNS에서 IP 주소정보를응답하게된다. 대피소 DNS는 DDoS 공격을대비하여 1,2차 DNS보다훨씬충분한대역폭으로연결되어있고, DDoS 공격을분산시키기위하여 Anycast로동작을하도록구성되어있어, 충분한 DDoS 방어및분석이가능할것으로판단된다.

92 ( 그림 6-13) 개방형모델에서의동작과정 ( 그림 6-14) 는대피소 DNS 구축시 DDoS 공격에대한사전대응및대규모공격시 DDoS 분석및조치를위한각시스템에대한요구사항이다. 대피소 DNS의최전단에위치하는라우터는네트워크와 QoS 트래픽제어를위한기능및네트워크사업자간의 Anycast를설정하고전파하여지역적트래픽분산을위한기능을수행한다. 보안시스템은시그너쳐기반의비정상트래픽에대한차단, 불필요한포트로의접근차단, 차단정보, 비정상패킷에대한정보를보다세밀하게분석및확인을통한대응조치를위하여분석 DB로전달하는기능을수행한다. 정책시스템은 IP주소별질의량을제어하는데, 일반적인캐시 DNS의경우정해진기간이경과하는경우 DNS 질의를요청하므로수시로 DNS 질의를요청하면일단요청하는대상시스템의문제점이있다고판단가능하며, 일시적인 DNS 질의폭주에대해서는정책기반으로임계값을설정할수있다. 또한, 문제점이있다고판단되는 DNS 질의요청서버는 Black-List 로정상적인요청을하는대상서버는 White-List로관리하여서비스를제공하도록할수있다.

93 ( 그림 6-14) 개방형모델에서의 DNS DDoS 대응요구사항 분석 / 정책 DB는보안시스템및정책시스템, DNS로부터 DNS 질의에대한이상현상을분석하고조치하기위하여정보들을수집하여분석한다. 보안시스템및정책시스템으로부터는이상현상을보이는패킷및통계정보를가져오며, DNS로부터는 DNS 트랙잭션에대한정보들을로그로가져와 OPCode기반으로분류하고해당코드의정보가갖는이상형태를분석한다, 분석결과해당 DNS 질의의문제점이발견되면, 해당질의요청시스템에대하여 Black-list 관리및정책적용이가능하도록정책시스템을업데이트한다. ( 그림 6-15) 는개방형모델을적용한전반적인 DNS 처리절차를보여주고있다. 일반적으로알려진절차에의거하여, DNS 질의를수행하게되며, 1,2차 DNS가응답실패를하게되면, Anycast 기반으로근접한대피소 DNS로 DNS 질의를라우팅기반으로전달한다. 이경우, 고대역의 DNS DDoS 공격을예상하여, 대형 DNS 사업자서버인경우에는우선적으로처리하여대다수의인터넷서비스를우선적으로보장하고, 그렇지않은미확인된 DNS 질의요청시스템은일반적인트래픽으로처리되게

94 제어하도록한다. 이렇게함으로써대역폭을초과하는 DNS DDoS 트래픽에대하여도최소한 DNS 서비스가가능하게되며, 링크를초과하는트래픽에대해서는네트워크상에서랜덤필터링이되는효과가있다. 그이후, 대피소보안시스템들을통하여 DNS 질의패킷에대한보안성검토및정책검토를수행하여비 [ 표 6-1] 개방형과은닉형서비스모델비교정상또는 DoS형공격, 정책기반위반패킷들에대해서는사전필터링을수행하고대피소 DNS로질의를요청하고대피소 DNS는질의결과로응답하게된다. ( 그림 6-15) 개방형모델에서의전체처리절차 2. 은닉형 (Proxy 기반 ) 서비스모델 은닉형서비스모델은호스팅업체와대피소의 DNS 를 Zone 동기화 하고, cctld 에 1,2,3 차에대한 NS 정보를제공하고, 대피소는부하분산 차원에서 AP 를 ISP 망에두고 Anycast 를적용하는방법이다. 이서비스

95 모델은 DNS가네트워크상에노출되지않고, AP만을노출시키기에 DNS 서버에대한안정적인운용이가능하다. 여기서 AP는 DNS 응용 Proxy로써 DNS 서비스및정책분석을위한호스트가 DNS 서비스를접속하기위한서버이다. AP는 DNS 서비스를위하여 DNS 서버의등록및감시를통하여 DNS 관리및분산처리가가능하도록구성되어있다. 아울러, AP는대피소 DNS와터널링을통해최적의 DNS 서비스를제공하도록할수있다. AP는호스트들의 DNS 서비스요청을수신하는최전단의서버로부하분산을위하여 Anycast로동작되며, 수신된 DNS 패킷들에대한검사를수행하여정상적이라고판단되는패킷들에대하여대피소 DNS와통신을통하여 DNS 서비스를제공하게되며, White-List/Black-List 정책적용을통하여대피소 DNS로전달되는양호한 DNS 패킷만을처리하도록하는기능을갖추고있다. 대피소 DNS와는주기적인 Health Check를통하여 DNS의장애및부하처리능력상태등을관리하는 SLB와같은부하 ( 그림 6-16) 은닉형서비스구성도

96 분산의효과를제공한다. Zone 동기화는앞절에서설명한개방형서비스모델과같다. 본서비스모델을적용하기위해서사업자구간에는 AP를지역적으로분산하여, AP를 Anycast 방식으로동작되도록하여야한다. Anycast로 AP로전달되는 DNS 패킷들은캐시로가장하여접근하는악의의호스트들을가급적분리하기위하여 ISP 캐시로부터의 DNS 질의에대해서는 QoS 정책을적용하여우선처리가가능하도록함으로써, 선의로이용하는 DNS 서비스에대한보호방안을강구할수있다. 아울러, AP와대피소 DNS와는정상적인 DNS 패킷만이접속될수있도록하기위하여터널링을통한연동이되도록구성한다. AP는입력되는 DNS 패킷들에대한정상적질의유무를판단하는기능을갖고있으며, 비정상이라고판단되는패킷들을방어, 차단하는메커니즘을적용한다. 대피소구간은정상적인 DNS 질의패킷들만이처리되기에간단한보안시스템구축으로도충분한서비스보호가가능하다. 아울러, 대피소구간에는분석정책 DB를구축하여 AP 및대피소 DNS로부터다양한이상징후패킷들을수집분석하여공격사전차단및완화를위한 DDoS 방어체계를구축하도록한다. ( 그림 6-17) 은닉형서비스구성에따른구간별역할

97 ( 그림 6-18) 은 DNS 서비스절차를보여주고있다. 개방형모델과같이, 호스트가 cctld로 a.co.kr에대한주소를요청하면, 미리등록되어있는 1,2,3차 NS 정보를호스트에제공한다. 이경우, 대피소 DNS 주소대신에 AP 주소를이용한다. 제공된 NS를기반으로호스트는우선적으로 1차 DNS에 IP주소정보를요청하게되고, 응답에실패를하게되면 2 차 DNS로 IP주소정보를요청한다. 1,2차 DNS로부터주소응답에실패를할경우, AP 주소로 DNS 질의를보내게된다. AP는정상적인 DNS 질의인지를확인하고정상적이라고판단되면, 대피소 DNS와연결된터널링을이용하여 DNS 질의결과를요청한다. 대피소 DNS 에대한결과, 대피소 DNS에서 IP 주소정보를응답하게된다. 대피소 DNS는해당질의에대한응답으로도메인네임에대한 IP주소로응답하며, AP는응답패킷에대하여호스트로전달하게된다. 이과정에서 AP는대피소 DNS 상태에따라, 대피소 DNS를선택하게된다. 대피소 DNS와 AP간에는연결대역폭이그리크지않아도가능할것이다. ( 그림 6-18) 은닉형모델에서의동작과정

98 이러한모델은 AP가 DNS 서비스의최전단에위치하고, DNS는선택적으로활용할수있는장점이있기에 DNS의확장변경이용이할뿐아니라, 호스팅업체와협력하여, 호스팅 DNS 서버들을 AP로수용하여 AP를중심으로부하분산을하는것도가능하다. 그러나호스팅업체를수용하기위해서는호스팅업체의운영정책과연계하여사전협력방안을강구할필요가있다. ( 그림 6-19) 는은닉형기반의대피소 DNS 구축시 DDoS 공격에대한사전대응및대규모공격시 DDoS 분석및조치를위한각시스템에대한요구사항이다. 그림에서보는바와같이, 사업자구간에는 AP를구축하여 Anycast 적용을한다. AP는대피소 DNS로의질의패킷에대한전반적인보안시스템이구축하여, 호스트에서발생하는이상패킷들에대한차단및 DDoS 공격의심이되는패킷들에대한수집및분석서버로부터의명령에의하여공격징후및공격형패킷들에대한차단정책을적용하게된다. 또한, 대피소 DNS와는내부터널링기법 (GRE 또는 NAT) 을이용하여대피소 DNS가외부에노출되도록하지않고, 대피소 DNS의처리능력등을감안하여유입되는 DNS 트래픽에대한부하분산처리 ( 그림 6-19) 은닉형모델에서의 DNS DDoS 대응요구사항