< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

Similar documents

DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진

index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D

제20회_해킹방지워크샵_(이재석)

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

슬라이드 1

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

Microsoft PowerPoint _TCP_IP

TGDPX white paper

DDoS 방어기술, 경험, 전문가의결합, AhnLab TrusGuard DPX 안철수연구소트러스가드 DPX (DDoS Prevention express) 는 DDoS 공격방어를위한보안기술과안철수연구소의인프라가결함된새로운 DDoS 공격방어전용제품입니다. 이제품은다단계필터

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

*****

POSTECH DDoS 대응 매뉴얼

bn2019_2

Microsoft PowerPoint - RioRey_타사대비자료.ppt

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]

제목 레이아웃

Network seminar.key

5. 바이러스 - 다양한방법으로네트워크전반에걸쳐자신을복제하는컴퓨터바이러스로특정시스템을상대로하지않지만, 그중불운한시스템이피해를볼수있다. 6. 물리적기반공격 - 누군가광케이블을훼손하는것이다. 재빨리트래픽을다른쪽으로우회시켜처리할수있다. DoS 공격특징 1 루트권한을획득하는공

NTP 서버보안가이드 침해사고분석단취약점점검팀 김정호선임연구원 ( ) 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다

[ tcpdump 패킷캡처프로그램 ] tcpdump란? tcpdump 버전확인 tcpdump 플래그 (flags) tcpdump 사용법 tcpdump의사용예제 telnet을활용해 root와 passwd 암호알아내기 [01] tcpdump란? tcpdump는 Lawren

Microsoft Word - ÀÌÈÆ-â¿ø´ë.doc

UDP Flooding Attack 공격과 방어

*

ìœ€íŁ´IP( _0219).xlsx

<4D F736F F D20C3D6C1BE202D D E7420B1E2B9DD20B4DCB8BB20C8A3BDBAC6AE20BFEEBFB5C3BCC1A620C0DAB5BF20C6C7BAB02E646F63>

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

Microsoft Word - NAT_1_.doc

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

The Pocket Guide to TCP/IP Sockets: C Version

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >

vulnerabilities. In addition, we propose an IPS system based on the SYN Flood defense policy to defend against malicious external attacks Keywords : D

TCP.IP.ppt

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

정보보안 개론과 실습:네트워크

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

슬라이드 1

H3250_Wi-Fi_E.book

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com


전송계층프로토콜 TCP(Transmission Control Protocol) 전송계층에서동작하는연결지향형 (connectionoriented) 프로토콜 데이터의흐름을관리하고, 데이터가정확한지검증하며통신 쓰리웨이핸드셰이킹 (three-way handshaking) 을통

Windows 8에서 BioStar 1 설치하기

PowerPoint 프레젠테이션

게시판 스팸 실시간 차단 시스템

untitled

PowerPoint 프레젠테이션

네트워크 고전 해킹 기법의 이해

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

서비스) 와서버( 관리대상서버) 간에자격증명을사용하여서로의 ID 를확인하고서로주고받는데이터를검사하고암호화하는프로세스 이다. 높은인증수준은일반적으로성능의저하를가져올수있지만높은 수준의보안과데이터무결성을제공한다. 기본값 - 관리대상서버에설정되어있는 DCOM 인증수준기본 값을

Microsoft PowerPoint - thesis_rone.ppt

<31305FBEC6C0CCC5DB2E687770>

R-ETL시스템

The Pocket Guide to TCP/IP Sockets: C Version

Cloud Friendly System Architecture

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

일반적인 네트워크의 구성은 다음과 같다

Vol.06 June CONTENTS 2 page 1. 월간동향요약 월보안이슈 주요보안권고 침해사고통계분석요약 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

Microsoft Word doc

[11년 정책연구용역]대중소기업 공동보안체계 연구_최종본_제출용_ hwp

Microsoft PowerPoint - ch13.ppt

PPP over Ethernet 개요 김학용 World Class Value Provider on the Net contents Ⅰ. PPP 개요 Ⅱ. PPPoE 개요및실험 Ⅲ. 요약및맺음말

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

Subnet Address Internet Network G Network Network class B networ

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

Microsoft Word - camera-ready.doc

<44446F535FC7D1B0E8BFEBB7AE5FC3F8C1A45FB9E6B9FDB7D05FBFACB1B85FC3D6C1BEB0E1B0FABAB8B0EDBCAD2D46696E616C2D76312E362E687770>

The Pocket Guide to TCP/IP Sockets: C Version

목록 1. DoS/DDoS attack? 2. Dos와 DDoS의차이점 3. DoS공격으로의심할수있는증상 4. DoS 공격유형 5. DDoS 공격유형 6. 주요 DDoS 공격피해사례 7. DoS와 DDoS 공격에대한대응책 8. 알게된사실 9. 참고사이트

#WI DNS DDoS 공격악성코드분석

2009년 상반기 사업계획

네트워크 보안 Network Security

Microsoft PowerPoint - Lecture_Note_5.ppt [Compatibility Mode]

정보보안 개론과 실습:네트워크

자바-11장N'1-502

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

RHEV 2.2 인증서 만료 확인 및 갱신

[QoS 강좌] QoS에서의 혼잡 회피 적용과 이해 ②

WAN에서 다자간 통신을 위한 계층적 오류복구 기법

PowerPoint 프레젠테이션

PowerPoint Presentation

정보보안 개론과 실습:네트워크

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

이세원의 인터넷통신 과제 02.hwp

<38345FC0CCC7FCBCF62DC0FAB4EBBFAA F5320B0F8B0DD2E687770>

Diggin Em Walls (part 3) - Advanced/Other Techniques for ByPassing Firewalls

[Brochure] KOR_TunA

Ethernet Routing Switch Application Delivery Networking Security Solutions Wireless Solutions Version 9.2nCore ipecs ADN (Application Delivery Network

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >

Microsoft PowerPoint - 04-UDP Programming.ppt

Transcription:

DDoS 대응장비보안기능요구사항 2010. 1 IT 보안인증사무국

목차 1. 소개 1 1.1 참고 1 1.2 목적및범위 1 1.3 문서구조 2 2. DDoS 공격유형및대응기술 3 2.1 DDoS 공격유형 3 2.2 DDoS 대응장비구성방식 6 3. DDoS 공격대응을위한보안기능 7 4. DDoS 대응장비시험방법 8

1. 1.1 소개 참조 본요구사항의식별정보는다음과같다. 1.2 목적 최근 7.7 DDoS 대란등 DDoS 공격이이슈화되고있는상황에서 DDoS 대응장비에 대한보안기능및시험방법에대한정의및기준이불명확하여 DDoS 개발업체및도입 기관에서장비개발및도입에어려움을겪고있다. 따라서, DDoS 대응장비의보안기능요구사항및시험방법을정의한 DDoS 대응장비보안기능가이드 를개발하여다음과같은도움을주고자한다. 개발업체는본가이드를통해 DDoS 대응보안기능을참조하여보안기능을구현하고, 시험방법에따라구현된보안기능의적절성을점검하는데도움을받을수있다. 도입기관은본가이드를통해 DDoS 대응장비도입기준을정하고, 대응장비의 BMT 조건및기준을정하는데도움을받을수있다. 평가기관은본가이드를통해수있다. 일반인은본가이드를통해얻는데도움을받을수있다. DDoS DDoS 대응장비의보안기능을평가하는데도움을받을 공격유형및대응기능에대한일반적인지식을 -1-

1.3 문서구조 본가이드는 4 장으로구성된다. 1 장은가이드소개로문서참조정보, 가이드작성배경및목적에대해설명한다. 2장은일반적인 DDoS 공격유형과 DDoS 대응장비구성방식을설명한다. 3장은 DDoS 공격대응을위한보안기능을설명한다. 4장은 DDoS 대응장비의제품사양을검증하고보안기능을시험하는방법에대해설명한다. -2-

2. DDoS 2.1 DDoS 공격유형및대응장비구성방식 공격유형 DDoS(Distributed Denial of Service, 분산서비스거부) 는해킹방식의하나로서여러대의공격자를분산배치하고이들이특정서버에많은양의접속시도를동시에수행하여시스템이정상적인서비스를제공할수없도록마비시켜, 결국다른이용자가정상적으로서비스를이용할수없도록만드는공격방식이다. DDoS 공격은일반적으로 Flood 공격, 응용계층공격, 단편화공격유형으로분류할수있다. 다음은유형별대표적인 DDoS 공격이다. 구분대표적인 DDoS 공격 - TCP Syn Flood - TCP Syn-Ack Flood 단일 - TCP Ack Flood - TCP Fin Flood - ICMP Flood - UDP Flood Flood 공격 - TCP Multi-connection - ICMP+UDP Flood - ICMP+TCP Flood 혼합 - UDP+TCP Flood - ICMP+UDP+TCP Flood 등단일Flood 공격혼합 응용계층공격 단일 - Valid HTTP GET Flood - Invalid HTTP GET Flood - CC(Cache Control) - DNS Query Flood - 저대역폭 HTTP DoS 혼합 - CC+TCP Flood 등응용계층공격혼합 Flood - TCP Flood - UDP Flood - ICMP Flood 등단일Flood 공격 단편화공격 응용계층 - CC(Cache Control) 등응용계층공격 혼합 - ICMP+UDP Flood - ICMP+TCP Flood - UDP+TCP Flood - ICMP+UDP+TCP Flood - CC+TCP Flood 등 Flood 및응용계층공격혼합 -3-

다음은위의표에서서술된유형별 DDoS 공격에대한설명이다. 단일 Flood 공격 TCP Syn Flood TCP/IP의 3-way HandShaking 에기반을둔공격으로, 공격자는공격대상서버에게접속을요청하는 TCP Syn 패킷을대량으로전송하여공격대상서버가 Ack 패킷을받기위해 TCP Syn-Ack 응답패킷을전송한다. 공격자는 TCP Syn-Ack 패킷에응답하지않음으로써공격대상서버에 반만열린(Half Open) 연결이대량으로생성되어시스템자원을고갈시켜정상적인서비스를제공할수없게방해하는 DDoS 공격유형이다. TCP Syn-Ack Flood 송신자를공격대상서버주소로설정한 TCP Syn 패킷을전송하여해당패킷을받은수신자는 TCP Ack 패킷을받을때까지공격대상서버주소로 TCP Syn-Ack 응답패킷을계속전송한다. TCP Syn 패킷을전송하지않은공격대상서버는이를무시하게되고계속되는 TCP Syn-Ack 패킷에대응함으로써시스템자원이고갈시켜정상적인서비스를제공할수없게방해하는 DDoS 공격유형이다. TCP Ack Flood TCP Ack 패킷을대량으로공격대상서버로전송하여공격대상서버의시스템자원고갈을유도하는 DDoS 공격유형이다. TCP Fin Flood Reset 발생으로 위조된출발지주소와포트, Fin 플래그를설정하여대량의패킷을전송하여공격대상서버의정상적인서비스제공할수없게방해하는 DDoS 공격유형이다. ICMP Flood 대량의하게하는 UDP Flood Echo Request(PING) 을공격대상서버에보냄으로서버퍼오버플로우를발생 DDoS 공격유형이다. UDP의비연결성및비신뢰성때문에공격이용이한방법으로패킷사이즈를줄려대량의 UDP 패킷을공격대상서버로전송하여공격대상서버의네트워크자원을 소모시키는 DDoS 공격유형이다. -4-

TCP Multi-connection 정상적인 TCP 3-way HandShaking을통해공격대상서버의 TCP 연결을증가시켜공격대상서버의자원을소모시키는 DDoS 공격유형이다. 혼합 Flood 공격 단일 Flood 공격유형을조합하여공격대상서버로전송시키는 DDoS 공격유형이다. 단일응용계층공격 Valid HTTP GET Flood 정상적인 HTTP GET 요청을대량으로공격대상서버에전송하여다른정상적인 GET 요청을정상적으로처리할수없게방해하는 DDoS 공격유형이다. HTTP Invalid HTTP GET Flood 비정상적인 HTTP GET 요청을대량으로공격대상서버에전송하여다른정상적인 GET 요청을정상적으로처리할수없게방해하는 DDoS 공격유형이다. HTTP CC(Cache Control) Cache-Control은웹페이지의캐싱을위해정의되는값으로보통서버가클라이언트에게페이지를제공할때캐싱을요청하기위해사용되며, 클라이언트가서버에게페이지를요청할때는통상적으로사용되지않는값으로, RFC 문서에서는클라이언트와서버측모두사용되어있도록정의되어있다. 이에따라, 공격자가 HTTP User-agent 헤더의 Cache-Control 값을비정상적으로조작하여공격대상서버에게웹페이지를요청하면캐싱을요청하지않았기때문에공격대상서버는비정상적으로동작하게되어서비스를정상적으로제공할수없게되는 DDoS 공격유형이다. DNS Query Flood 공격대상서버(DNS 서버) 로대량의변조된 Query를전송하여DNS 서비스의정상운용을불가능하게하는 DDoS 공격유형이다. 저대역폭 HTTP DoS 공격대상서버(HTTP 서버) 의연결제한을모두소진시키도록적은양의대역폭만을사용하여공격대상서버에연결을시도한후해당연결이영구히지속되게만드는공격방법으로연결제한을소진시키는 DDoS 공격유형이다. -5-

혼합응용계층공격 단일응용계층공격을조합하거나응용계층공격과 Flood 공격을조합하여공격대상서버로전송시키는 DDoS 공격유형으로최근에많이발생하고있다. 단편화공격 Flood 공격및응용계층공격에사용되는패킷을단편화하여공격대상서버의부하를증가시키거나, 공격대상서버의허용된값보다초과된수의단편화된 IP 패킷을전송하여공격대상서버의오버플로우를유발시키는공격으로해당서버에어떤새로운사용자도접속하지못하게하는 DDoS 공격유형이다. 2.2 DDoS 대응장비구성방식 DDoS 대응장비는장비의성능( 대응용량포함) 에따라백본망, 액세스망, 사용자망구간등에설치운용될수있다. DDoS 대응장비의설치운영방식에따라일반적으로 Inline 방식과 Out-of-path 방식으로구분할수있으며, 기설치된침입차단시스템등네트워크보안장비와의역할구분과 DDoS 대응장비성능및장비수량에따라 DDoS 대응장비설치위치와구성방식이다양해질수있다. Inline 방식과 Out-of-path 방식은일반적으로다음과같이구성될수있다. Inline 방식 기존물리적회선가운데 DDoS 대응장비가설치되는방식으로, DDoS 대응장비로유 입되는트래픽을모니터링하여 DDoS 공격을직접탐지하고차단한다. -6-

Out-of-path 방식 물리적회선구성바깥에 DDoS 탐지장비및차단장비가설치되는방식으로, 미러링장비를통해유입된트래픽을 DDoS 탐지장비( 센서) 에서분석하고, DDoS 차단장비에서해당 DDoS 공격을차단한다. 3. DDoS 공격대응을위한보안기능 DDoS 대응장비는다음과같은보안기능을구현해야하며, 4장의 DDoS 대응장비의시험방법에따라제품사양을검증하고보안기능을시험해야한다. 구분 대응기능( 탐지/ 차단) 추적기능 보안기능 - Flood 공격, 단편화된 Flood 공격, 응용계층공격등 DDoS 공격에대해탐지및차단 최소한 2.1절에서식별된 DDoS 공격탐지및차단 - 신규 DDoS 공격대응을위한트래픽분석( 학습) 및탐지/ 차단규칙생성( 사용자정의) - 탐지및차단된트래픽( 패킷) 에대한감사기록생성기능 - 알람기능 - 트래픽모니터링기능 로그인기능 - 관리자에대한식별및인증기능 관리기능 - 정책설정및감사기록조회등보안관리기능 -7-

DDoS 대응장비의보안기능에대한설명은다음과같다. 탐지기능 DDoS 공격을탐지할수있는기능을제공해야하며, 최소한 2.1절의유형별대표적인 DDoS 공격을탐지할수있어야한다. 또한트래픽학습기능을제공하여신규 DDoS 공격에대한탐지기능을제공해야한다. 차단기능 탐지된 DDoS 공격을차단할수있는기능을제공해야하며, 최소한 2.1절의유형별대표적인 DDoS 공격을차단해야한다. 또한, 학습기능을통해정의된신규 DDoS 공격을차단하는기능을제공해야한다. 추적기능 DDoS 공격을탐지하고차단한트래픽( 패킷) 에대해감사기록을생성할수있는기능을제공해야하며, 관리자설정에따라탐지및차단에대한알람기능을제공해야한다. 또한, 트래픽을모니터링할수있는기능을제공해야한다. 로그인기능 보안정책설정, 감사기록조회등인가된관리자에의해보안관리가될수있도록인가된관리자를식별하고인증할수있는로그인기능을제공해야한다. 관리기능 DDoS 대응장비보안기능( 탐지기능, 차단기능, 추적기능, 로그인기능) 동작을위한보안정책을설정하고조회할수있는보안관리기능을제공해야한다. 4. DDoS 대응장비시험방법 DDoS 공격은네트워크및서비스자원의부하를증가시키는특성을가지고있기때문에 DDoS 대응장비는침입방지시스템등기존네트워크보안장비보다성능적인측면이중시되고있다. 따라서, DDoS 대응장비의성능이보안기능에영향을미치기때문에보안기능을시험하기에앞서제품의사양을검증해야하며, 검증된제품사양을기반으로 DDoS 대응장비의보안기능을시험해야한다. -8-

DDoS 대응장비의제품사양검증및보안기능시험방법은다음과같다. 제품사양검증트래픽 트래픽유형대상트래픽부하 정상트래픽내부서버단편화된 UDP DDoS 대응장비용량의 100% 보안기능시험트래픽( 탐지및차단) 트래픽유형대상트래픽부하 공격트래픽피해서버 DDoS공격유형별트래픽 DDoS 대응장비용량의 90% 피해서버동작확인피해서버 HTTP 1 tps 정상트래픽내부서버 HTTP DDoS 대응장비용량의 5~10% 제품사양및보안기능시험에대한세부항목은다음과같다. 시험항목 제품사양검증 항목 공격트래픽탐지/ 차단 세부항목 - 처리율(Throughput) - 패킷지연(Packet Latency) - 최대연결수(Max Connection) - 패킷손실율(Packet Loss) - 공격패킷탐지시간 - 공격패킷차단시간 - 공격패킷차단율 - 정상패킷성공률 - 공격대상서버의성공률 - 탐지및차단로그생성 -9-

2024 © docsplayer.org 개인정보보호 | 약관 | 지원