금보원 2010-015 2010. 12 금융보안연구원
차례 차례 차례 1
그림 표 2
그림 표 그림 표 3
개요 제 1 장 제 1 장 제 1 절배경 제 1 장개요 1
2
DDoS 정의및유형 제 2 장 제 2 장 제 2 장 DDoS 정의및유형 3
4
DDoS 정의및유형 제 2 장 대역폭공격 PPS 공격어플리케이션공격 사용프로토콜주로 UDP/ICMP TCP HTTP 공격 PC 위치국내국내 / 국외국내 / 국외 IP 변조여부변조 / 실제 IP 변조 / 실제 IP 실제 IP 공격유형 1000~1500byte 1Gbyte 수십만 PPS 64byte 이하 100Mbyte 수십만 ~ 수백만 PPS 동일 URL 접속 시도 CC Attack 등 공격효과 회선대역폭초과 네트워크장비, 보안장비, 서버 등의부하발생 웹 /DB 서버 부하발생 피해시스템 동일네트워크에서 사용중인모든 시스템 공격대상시스템및동일네트워크의모든시스템 공격대상시스템 제 2 장 DDoS 정의및유형 5
제 3 장 6
세부 DDoS 공격유형및증상, 대응방안 제 3 장 제 3 장세부 DDoS 공격유형및증상, 대응방안 7
8
세부 DDoS 공격유형및증상, 대응방안 제 3 장 제 3 장세부 DDoS 공격유형및증상, 대응방안 9
10
세부 DDoS 공격유형및증상, 대응방안 제 3 장 제 3 장세부 DDoS 공격유형및증상, 대응방안 11
12
세부 DDoS 공격유형및증상, 대응방안 제 3 장 제 3 장세부 DDoS 공격유형및증상, 대응방안 13
14
세부 DDoS 공격유형및증상, 대응방안 제 3 장 제 3 장세부 DDoS 공격유형및증상, 대응방안 15
16
DDoS 예방및대응 제 4 장 제 4 장 제 4 장 DDoS 예방및대응 17
18
DDoS 예방및대응 제 4 장 구분 TFT 팀장홍보팀정보보호팀네트워크팀시스템팀 담당 - DDoS 공격발생시운영반총괄 - 피해범위및상황보고서작성 - DDoS 공격발생시부문별관제센터에상황통보및상부보고 - 평시네트워크및서버운영상황파악 - DDoS 모의훈련주관및예방정책수립 - DDoS 공격후복구방안수립및복구수행책임 - 대외홍보방안마련및홍보수행 - DDoS 공격대응 TFT 운영지원 - 평시네트워크및서버운영상황점검 - 정보자산에대한주기적보안점검및보안강화방안수립 시행 - 이상징후발생여부모니터링을통한공격여부인지 - 네트워크 / 보안장비 / 서버담당과의협조하에긴급조치수행 - 공격내용분석및피해범위파악을통한현황보고 - 대응조치수행총괄및 ISP 협조 - DDoS 공격후복구방안수립및복구수행실무총괄 - 평시네트워크트래픽통계및예방책마련 - 이상징후발생시정보보호실무책임자에통보 - 보안장비 / 서버담당및유지보수업체와협력 - 네트워크장비상태확인후긴급조치수행 - DDoS 대응절차에따라피해최소화를위한대응수행 - DDoS 공격후복구방안수립협조및복구수행 - 평시서버로그분석을통한설정최적화수행 - 이상징후발생시정보보호실무책임자에통보 - 네트워크 / 보안장비담당및유지보수업체와협력 - 보안장비상태확인후긴급조치수행 - DDoS 대응절차에따라피해최소화를위한대응수행 - DDoS 공격후복구방안수립협조및복구수행 제 4 장 DDoS 예방및대응 19
20
DDoS 예방및대응 제 4 장 제 4 장 DDoS 예방및대응 21
22
DDoS 예방및대응 제 4 장 제 4 장 DDoS 예방및대응 23
24
DDoS 예방및대응 제 4 장 제 4 장 DDoS 예방및대응 25
26
DDoS 예방및대응 제 4 장 변수이름설명설정값 SynAttack Protect - SYN Flooding 공격에대한탐지설정 - 0 : 탐지안함 1 : 탐지 1 TcpMaxConnect ResponseRetrans missions - 클라이언트가요청한데이터를재전송 하는횟수를제한하는값 3 TcpMaXHalfOpen TcpMaXHalfOpen Retried - 허용할 Half Open 상태의세션수 - AFD 에서허용한 Backlog 보다작은값이어야함 - 현재 Half Open 상태의세션수 (SYN 요청이재전송된세션유지개수 ) - TcpMaxHalfOpen 값보다작아야함 100 80 KeepAlive Time - 연결유지 (Keep-alive) 패킷을보내어유휴연결이열려있는지확인하는시간 300,000ms EnableICMPRedirect - ICMP Redirect 설정가능여부 0 P e rfo rm R o u te r D is c o ve ry - RFC 1256 기반 router discovery 사용여부 0 EnableSecurityFilters - 1 일경우 IP 보안필터가활성화됨 1 DisableIPSource Routing - IP 원본라우팅가능여부 1 MaxUserPort - 사용가능최대포트수 ( 세션수 ) 65,534 제 4 장 DDoS 예방및대응 27
변수이름설명설정값 tcp_time_wait_interval tcp_conn_req_max_q - 커넥션이종료됐을때 TIME_WAIT 상태로머물게되는시간을설정 (default: 240,000ms) 60,000 - Complete Queue 개수 (deafult: 128) tcp_conn_req_max_q() 보다작거나같은값 8,192 tcp_conn_req_max_q - Incomplete Queue 개수 (default: 1024) 8,192 tcp_ip_abort_cinterval tcp_ip_abort_interval tcp_keepalive_interval tcp-rexmit_interval_max tcp_rexmit_interval_min - Incomplete 상태의 TCP 연결유지시간, 시간경과후큐에서삭제 (default:180,000ms) - 데이터송, 수신이없는상태에서연결을유지하는시간 (default: 480,000ms) 메일서비스운영시, 5 분이하로값을설정하면오류발생 - 서버애플리케이션에서 KEEPALIVES 가설정되어있고응답하지않은연결이계속활성화된경우검사하는간격 - 재전송을위한최대시간간격 (default:60,000ms) - 재전송을위한최소시간간격 (default : 200ms) 30,000m s 60,000m s 응용에맞춰설정 10,000 200 28
DDoS 예방및대응 제 4 장 변수이름설명설정값 DOSHashTableSize DOSPageCount DOSSiteCount - 각자식해쉬테이블마다탑레벨노드의수를지정 - 수치가높으면높을수록좋은성능이나타나지만테이블을위한메모리가소모되며, 접속량이많으면이수치를높여야함 - 같은페이지 ( 또는 URL) 에대한요청횟수 /page interval - 지정된값이초과되면클라이언트에대한 IP 정보를차단리스트에추가 - 동일클라이언트로부터의요청횟수 / site interval - 지정된수보다초과될경우 IP 정보를차단리스트에추가 DOSPageInterval - 페이지카운트간격, 디폴트 1 초 1 DOSSiteInterval - 사이트카운트간격, 디폴트 1 초 1 3097 2 50 DOSBlockingPeriod - 클라이언트가차단리스트에추가되어차단되는시간 10 제 4 장 DDoS 예방및대응 29
DOSEmailNotify DDOSSystemComma nd DOSWhitelist - 클라이언트는 403 (Forbidden) 에러를출력하게됨 -IP 가차단될때마다지정된이메일로해당정보발송 - 시스템은 IP 가차단될때마다해당명령행실행 - 예 ) su -root -c '/sbin/iptables -A INPUT -s %s -j DROP" - 차단에서제외할호스트 IP 설정 - 예 ) DOSWhitelist 127.0.0.1, DOSWhitelist 127.0.0.* - - - 30
DDoS 예방및대응 제 4 장 제 4 장 DDoS 예방및대응 31
변수이름 MaxKeepAlive Requests KeepAliveTimeout MinSpareServers 설명 - 클라이언트가한번요청으로접속을끊지않고연속으로요청을할수있도록연결을허용해주는 KeepAlive' 요청허용횟수 - DDoS 징후가발생하면허용횟수를낮추는것이효과적 - 클라이언트의요청을유지해야하는시간으로 Timeout 이내에다음요청이없으면연결을끊어버림 - DDoS 징후가발생하면 Timeout 값을낮추는것이효과적 - 아파치서버가안정적인서비스를위해유지하려고하는최소유휴서버개수 - DDoS 징후가발생하면해당값을높이는것이효과적 ( 단, 서버의성능을고려하여설정필요 ) MaxSpareServers StartServers - 아파치서버가안정적인서비스를위해유지하려고하는최대유휴서버개수 ( 즉, 너무많을경우유휴서버의수를죽임 ) - DDoS 징후가발생하면해당값을높이는것이효과적 ( 단, 서버의성능을고려하여설정필요 ) - 아파치웹서버를처음시작할때생성하는서버개수 - DDoS 징후가발생하면서버의수를높이는것이효과적 ThreadsPerChild - 서버하나가만들어낼수있는최대쓰레드개수 ( 최대 64) MaxClients - 허용하는최대클라이언트수 - MaxClients = StartServer * ThreadsPerchild - DDoS 징후가발생하면 MaxClients 수를높이는것이효과적 MaxRequestsPer Childs - MaxRequestsPerChilds 이 0 으로세팅되어있다면 child process 는종료없이계속실행 - MaxRequestsPerChilds 값을높이면메모리고갈로인한성능저하를막을수있고, 무한루프등에의한서버부하를감소시킬수있음 - DDoS 징후가발생하면 MaxRequestsPerChilds 값을높이는것이효과적 32
DDoS 예방및대응 제 4 장 제 4 장 DDoS 예방및대응 33
34
DDoS 예방및대응 제 4 장 제 4 장 DDoS 예방및대응 35
36
DDoS 예방및대응 제 4 장 제 4 장 DDoS 예방및대응 37
38
DDoS 예방및대응 제 4 장 순서절차세부내용 1 피해복구범위결정 2 복구우선순위결정 3 피해복구 단순데이터복구 소프트웨어복구 시스템재설치 - 시스템의데이터에만손상이발생 - 시스템내프로그램및운영체제에단순오류발생 - 시스템운영체제복구불가능 - 피해복구대상시스템이 2 개이상인경우, 이들대상에대한복구우선순위를정함 - 즉시조치해야할복구내용과중장기적인계획에 의해서수행해야할복구내용을정함 단순데이터복구 S/W 복구 - 백업데이터로복구 - 백신프로그램을이용하여치료 - 공격에이용된취약점제거 - 응용프로그램재설치 -OS CD 를이용한 OS 복구 시스템재설치 - 운영체제 / 응용프로그램재설치 - 백업자료를이용한데이터복원 정상상태복귀확인 4 사후관리 - 시스템재개후일정기간동안모니터링재개 - 보완보고서작성및일정기간동안시스템및네트워크주기적재점검 제 4 장 DDoS 예방및대응 39
40
참고문헌 참고문헌 41
총괄책임자 금융보안연구원 사이버대응센터 센터장 성재모 참여연구원 해킹대응팀 팀 장 이성욱 주임연구원 박찬홍 연구원 오인환 연구원 홍영우 연구원 사준호 외부전문가 KT 과 장 장현철
2010년 12월발행발행인 : 곽창규발행처 : 금융보안연구원서울시영등포구여의도동 36-1 키움파이낸스스퀘어빌딩 15층 Tel: (02) 6919-9136 < 비매품 > 본절차서내용의무단전재를금하며, 가공인용할때에는반드시 금융보안연구원 이라고밝혀주시기 바랍니다.