2008. 07 DDoS 공격및 DDoS 전용방지장비의실체
DDoS 공격의특징 보안장비주요기능공격판단기준 방화벽 IDS/IPS Stateful Inspection SYN Flood Protection 시그니처기반알려진공격탐지 / 방지 SYN Flood prevention Open Port : good traffic Closed Port : bad traffic Signature Matched : bad Traffic Signature Unmatched : good traffic 기존네트워크보안기술의경우, 공격의판단기준이명확함 DDoS 공격의경우 (1) good과 bad의판단기준이모호함 (2) TCP/IP Protocol의모든 Field를이용하여발생가능 (3) 언제어떠한트래픽특성을이용하여발생할지를예측할수없음 Open Problem 2
DDoS 공격의진화과정 (1996 2003) 1996 년이전 Point-to-point 공격 (single threaded) - SYN flood, IP Fragmented 패킷공격 - Ping of Death - UDP kill 1997 년결합 (Combined) 공격 bonk, jolt, nestea, newtear, syndrop, teardrop, winnuke teardrop v2, newtear, boink, bonk, frag, fucked, troll icmp, troll udp, nestea2, fusion2, peace keeper, arnudp, nos, nuclear, sping, pingofdeath, smurf, smurf4, land, jolt, pepsi 1998 년 fapi (1998 년 5 월 ) - UDP, TCP (SYN and ACK), ICMP Echo, "Smurf" 확장 - Windows 및 Unix 에서동작 fuck_them (ADM Crew, 1998 년 6 월 ) - ICMP Echo Reply flooder - 소스스푸핑 3
DDoS 공격의진화과정 (1996 2003) 1999 년강력하고다양한공격이가능한도구출현 - 예 : trin00, Stacheldraht, TFN, TFN2K - 다차원적인공격기능 (TCP SYN flood, TCP ACK flood, UDP flood, ICMP flood, Smurf ) - C&C 채널에암호화채택및자동갱신기능 2000 년플러딩기능의확장 (ip-proto-255, TCP NULL flood ) - 16,702 개의사전 IP 주소를이용한 smurf 증폭 (Stacheldraht v1.666) - Rootkits 번들 (tornkit 는 stacheldraht 포함 ) - 완전한통제기능 ( 다중사용자등 ) - Omegav3 - C&C 를위하여 IRC 사용 Knight, Kaiten 2001 년 Worm 에 DDoS 기능포함 - Code Red ( 미국백악관공격 ) - Linux lion worm (TFN) 스캐닝기능추가등에의한복합위협 ( Blended threats ) 으로진화 - Power bot, 수정된 Kaiten bot - 시각동기화 - Leaves worm 2002 년 DRDoS 출현 (reflects NBT, TCP SYN :80, ICMP) 2003 년 SQL Slammer worm (Worm 에의한인프라 DDoS 공격 ) 4
DDoS 공격의진화과정 현재와미래 (2004 년이후 ) Botnet Botnet = bot, botmaster, C&C 서버로구성되어명령에따라제어할수있는 Zombie 네트워크 - Bot 은 Worm 의전파특성, Backdoor 의명령송수신특성을가지며, Rootkits 의은닉기법을사용하며, Key logger 등의 Spyware 의요소를가짐 - 경제적이익을목적으로함 - 일반적으로수십만 Bot 으로구성되어원격에서제어됨 - 시스템사용자는 Bot 감염여부를알수없으며, IRC, HTTP, P2P 등의다양한경로를통하여통제됨 - DDoS, 스팸, 키보드로깅, worm 및신종 exploit 을설치등다양한공격의기반으로이용됨 - Internet 에연결된 1~5% 가다양한 Bot 에감염되어있음 - BotConomics 의형성 (cents ~ $xx) Botnet 은 AV, IPS 등기존보안기술로탐지가불가능함. 5
Botnet 에의한 DDoS 공격의특징 Bot Master Bot C&C Servers Zombie machines Botnet 명령에따라행동하는자가프로그램의네트워크 (1) 일반적으로수백대에서수천대로구성된원격으로제어되는 Zombie 시스템으로서 IRC, HTTP 또는 P2P 에의해서제어되거나업그레이드됨 (2) 감염된 PC 의소유자는감염사실을알수없으며, 기존보안기술로는탐지불가 (3) 다양한공격에이용됨 (DDoS, SPAM, 금융사기, 신종공격감염수단등 ) 6 Victim
Botnet 에의한 DDoS 공격의특징 Botmasters는대량의 bot을통제함 7
Botnet 에의한 DDoS 공격의특징 Botmasters 는대량의 bot 을통제함 8
Botnet 에의한 DDoS 공격의특징 Botmasters는다양한 DDoS 공격을쉽게유발함 9
Botnet 에의한 DDoS 공격의특징 Botmasters는 Bot이감염된 PC를통제함 10
Botnet 에의한 DDoS 공격의특징 Zombie 를이용한 Botnet 구성 - 다단계아키텍처 : 일부 Zombie 를다른 Zombie 를통제하기위한 Master 로활용 Coordinated 공격을하도록명령 ( 수천대의 Zombie) - Spoofing 이필요없음 - SYN Flooding에이용될경우, SYN cookies도도움이되지않음 수천대의 Source 로부터트래픽을발생시켜서대상시스템을압도함 기존기술로는탐지및방지가거의불가능함 11
IntruGuard 아키텍처 vs. Botnet Virtual RBIPS 8 Virtual RBIPS 7 Virtual RBIPS 6 Virtual RBIPS 5 Virtual RBIPS 4 Virtual RBIPS 3 Virtual RBIPS 2 Virtual RBIPS 1 패킷가상화 Inbound Outbound 패킷 Layer 2,3,4 헤더이상방지 Layer 2,3,4 대역폭이상방지 Dark Address 스캔방지 네트워크스캔방지 Layer 4 상태이상방지 안티스푸핑엔진 판단멀티플렉서 깨끗한 Inbound Outbound 패킷 Layer 2,3,4 ACL 엔진 포트스캔방지 소스추적 통제및통계 포렌직정보 ( 차단된패킷정보 ) 12
IntruGuard Botnet 에의한 DDoS 공격탐지방법 소스추적 100만대의 client 의 behavior 감시하여불법행위유발 Client 차단 Botnet과같은 non-spoofed source attacks을방지하는데핵심기능 공격을발생시키는개별 Source를탐지하고차단함 ( 걸어다니던 Client 가갑자기뛰거나날아다니면 Zombie) 기존 DDoS 전용장비 전체제거 IntruGuard Zombie 만을제거 13
실제 DDoS 공격의특징 Review 공격명설명감시 / 조정을위한 Threshold 주목해야할이벤트 Smurf 공격 대상서버의소스주소를위조하여다수의 Echo(Ping) 메시지를 IP Broadcast 트주소로전송. 해당 Broadcast 주소로트래픽을전달하는라우팅장치가 Layer 2 Broadcast 기능에대해 IP Broadcast 를수행하기때문에대부분의네트워크호스트는각각 ICMP Echo 요청을받아들여 Echo 응답을수행하게되므로응답중인호스트수에비례하여트래픽이증가 Layer 2 Broadcast Layer 3 ICMP Protocol (1) Layer 4 Firewall/Router 에서허용된 ICMP Type/Codes Broadcast Flood Layer 3 Protocol 1 Flood Layer 4 ICMP(0,0) Flood (Type=0, Code=0: Echo Request/Response) Fraggle 공격 Fraggle 은 UDP (7)Echo 메시지를사용한다는점을제외하곤 smurf 와유사함. 멀티액세스 Broadcast 네트워크에서는수백대의시스템이각패킷에응답할수있음. Echo(7) 및 Chargen(UDP 19) 를이용하여 Loop 형성가능 Layer 2 Broadcast Layer 3 ICMP Protocol (1) Layer 3 UDP Protocol (17) Layer 3 UDP Layer 4 UDP Echo(7) Port Layer 4 Daytime Port (13) Layer 4 QOTD Port (17) Layer 4 UDP Chargen(19) Layer 4 해당 Port/Host 가가용하지않음을표현하는 ICMP Type/Code Broadcast Flood Layer 3 Protocol 1 Flood Layer 3 Protocol 17 Flood UDP port 7 Flood UDP port 13 Flood UDP port 17 Flood UDP port 19 Flood ICMP (3,3) Flood(port 비가용 ) ICMP (3,1) Flood (host 비가용 ) 14
실제 DDoS 공격의특징 Review 공격명설명감시 / 조정을위한 Threshold 주목해야할이벤트 SYN Flood 특정 TCP 포트로허용치보다초과된수의연결요청 (SYN) 전송 대부분 Source IP 가 Spoofing 되어있음 Layer 3 TCP Protocol (6) Layer 4 Firewall/Router 에서허용된 TCP port Layer 4 SYN Protocol 6 Flood SYN Flood Zombie Flood TCP Port Flood UDP Flood 허용치보다초과된수의 UDP 패킷 Layer 3 UDP Protocol(17) Layer 4 - Firewall/Router 에서허용된 UDP port Protocol 17 Flood UDP Port Flood ICMP Flood 허용치보다초과된수의 ICMP 패킷 Layer 3 ICMP Protocol (1) Layer 4 - Firewall/Router 에서허용된 ICMP Type/Codes Protocol 1 Flood 특정 ICMP Type/Codes Flood Fragment Flood 허용치보다초과된수의 fragmented IP 패킷 Layer 3 Fragmented IP 패킷 IP Fragment Flood Connection Flood Connection 수가정상의경우보다매우높은경우 Layer 4 TCP Connection TCP Connection Flood Source Flood 단일 Source 가허용치보다많은수의 IP 패킷을전송하는경우 Layer 3 최대패킷 /second IP Source Flood 15
실제 DDoS 공격의특징 Review 공격명설명감시 / 조정을위한 Threshold 주목해야할이벤트 Zombie 공격 너무많은합법 IP Source 로부터합법적인 TCP 패킷을전송하는경우 Layer 3 TCP Protocol (6) Layer 4 Firewall/Router 에서허용된 TCP port Layer 4 합법적인 IP Layer 3 - Protocol 6 Flood SYN Flood Zombie Flood TCP Port Flood Slammer 공격 허용치보다초과된수의패킷이 UDP 포트 1434 로전송 Layer 3 UDP Protocol(17) Layer 4 - UDP port 1434 Protocol 17 Flood UDP Port Flood - 1434 DNS 공격 허용치보다초과된수의패킷이 UDP 포트 53 으로전송 Layer 3 UDP Protocol(17) Layer 4 - UDP port 53 Protocol 17 Flood UDP port 53 Flood Port/Host 가가용하지않음을표현하는 ICMP Flood My Doom 공격 Zombie 로부터허용치보다높은수의 HTTP 패킷전송 Layer 3 TCP Protocol (6) Layer 4 TCP port 80 Layer 4 TCP SYN Layer 4 합법 IP Layer 4 TCP Connection IP Fragment Flood 16
DDoS 전용장비의방지가능 DDoS 공격목록 No 공격종류 1 IP를변조한 TCP Syn Flooding 공격 2 IP를변조한 TCP Syn-Ack Flooding 공격 3 IP를변조한 TCP Fin Flooding 공격 4 IP를변조한 UDP Flooding 공격 5 IP를변조한 TCP/UDP/ICMP 공격 6 IP를변조하지않은 TCP Syn Flooding 공격 7 IP를변조하지않은 TCP Syn-Ack Flooding 공격 8 IP를변조하지않은 TCP Fin Flooding 공격 9 IP를변조하지않은 UDP Flooding 공격 10 HTTP로의 Half-Open Attack 공격 11 HTTP로의과다한 Request 공격 17
DDoS 공격방지요건 Direct 공격 Worm Botnet DDoS Tools Worm 에의한 DDoS Zombie Flooding TCP SYN Flooding Packet flooding TCP, UDP, ICMP, IGMP, ip-proto-255 Flooding Worm 에의한 DDoS 방지 Botnet Size가수십만대에이르므로혹독한 DDoS을방지하여야함 TCP, UDP, ICMP, IGMP, ip-proto-255 의다양한 Flooding 방지및동적으로변화되는각종 Flooding공격방지 DDoS 전용방지제품은 DDoS 공격중에공격트래픽의차단 / 정상트래픽은유지 / 정상적인신규연결을처리하여야함 오탐에의해합법적인트래픽에영향을주지말아야함 관리자의개입없이모든종류의 DDoS 공격을자동으로 6초이내에방지하여야함 사람과유사한연결특성을가지는 zombie에의한모든종류의 DDoS 공격을방지하여야함 18
DDoS 전용장비의 3 대핵심요소 3 대요소 (1) 모든종류의 DDoS 공격의차단이가능한가? (2) 오탐없이차단할수있는가? (3) 관리자의개입없이차단가능한가? DDoS 공격은여전히해결되지않은문제? 19
DDoS 공격의특징 일반적인공격 DDoS 공격 공격 정상 공격 정상 정상 정상 Good Put Good Put Zombie 에의한공격의경우정상통신과다른바가없다. 20
공격트래픽 vs. 정상트래픽 기준이필요하다 21
22 1Gbps 통신대역
IntruGuard 아키텍처 Virtual RBIPS 8 Virtual RBIPS 7 Virtual RBIPS 6 Virtual RBIPS 5 Virtual RBIPS 4 Virtual RBIPS 3 Virtual RBIPS 2 Virtual RBIPS 1 패킷가상화 Inbound Outbound 패킷 Layer 2,3,4 헤더이상방지 Layer 2,3,4 대역폭이상방지 Dark Address 스캔방지 네트워크스캔방지 Layer 4 상태이상방지 안티스푸핑엔진 판단멀티플렉서 깨끗한 Inbound Outbound 패킷 Layer 2,3,4 ACL 엔진 포트스캔방지 소스추적 통제및통계 포렌직정보 ( 차단된패킷정보 ) 23
IntruGuard DDoS 공격탐지방법 Layer 4 상태이상방지 IP 를변조한 TCP Syn Flooding 공격 IP 를변조한 TCP Syn-Ack Flooding IP 를변조한 TCP Fin Flooding IP 를변조하지않은 TCP Syn-Ack Flooding IP 를변조하지않은 TCP Fin Flooding 추가적으로 IP 변조유무와관계없이, Rst Flood DDoS, Urg Flood DDoS Null Flood DDoS, Xmas Flood DDoS Out of State DDoS, CC Variety DDoS (Push, Ack) 24
IntruGuard DDoS 공격탐지방법 소스추적 100만대의 client 의 behavior 감시하여불법행위 Client 차단 non-spoofed source attacks을탐지하는데핵심기능 공격을발생시키는개별 Source를탐지하고차단 25
IntruGuard DDoS 공격탐지방법 Layer 2,3,4 대역폭이상방지 추정 Threshold 를계산하기위한요소 : 트래픽트랜드, 기울기, 방향, 진폭, 시간가중치반영 방향 트랜드 진폭 26
IntruGuard DDoS 공격탐지방법 Layer 2,3,4 대역폭 Layer 이상방지 Layer 2 Layer 3 Adaptive Threshold 결정인자 ARP Reverse ARP(RARP) Non-IP : IPv4, IPV6 이외의 Protocol Multicast : Multicast Group Broadcast : 모든인터페이스카드로송신되는트래픽 (Ethernet FF:FF:FF:FF:FF:FF) Double Encapsulated VLAN Tagged Frame VLAN tagged Frame : bridge 를통과하여 VLAN 멤버쉽을구별하기위해 MAC 헤더에추가 tag 포함 Fragmented Packet: 허용가능한초당 Fragmented 패킷비율 Maximum Packet per Source: 양방향단일소스에서보내는최대패킷수 Protocol: 각프로토콜별양방향트래픽비율 TOS : 양방향에대해서개별 TOS 값을가지는 IP 트래픽비율 IP Option : 각 Option Value 를가지는 IP 패킷의초당제한 IP Source: 초당 Most Active Traffic Rate 을발생하는 Source IP 를 100 만대까지관리 IP Destination: 특정 Destination 으로향하는초당 Most Active Destination IP 를 100 만대까지관리 Layer 4 TCP Connection: TCP connection 당허용가능한패킷수 Legitimate IP: 정상적으로 3-way Handshaking 이끝난 Source IP 및 destination IP 를학습및관리하여 SYN Flooding 발생시정상에속하는 IP 면연결시키고아니면버림. TCP Options: TCP 헤더 Option 값별초당패킷 Rate Port Scan : VID 별관리 TCP Ports: TCP Port Number 별초당 Packet rate (65535) UDP Ports: UDP Port Number 별초당 Packet rate (65535) ICMP Type/Code: 256 Type/Code 조합별초당 Packet Rate 27
IntruGuard DDoS 공격차단방법 Layer 2,3,4 대역폭이상방지 추정 Threshold : 트래픽트랜드, 기울기, 방향, 진폭, 시간가중치반영 설치시부터끊임없는학습으로최적의 Thresholds 유지 트래픽트랜드, 기울기, 방향, 진폭에위배되었으나 Adaptive Threshold 밖에있으므로악성 Source 들을차단하여 Estimated Threshold 까지트래픽을차단 트래픽트랜드, 기울기, 방향, 진폭에위배되었으나 Adaptive Threshold 이내에있으므로보류 동적적응 Threshold 추정 Threshold 관측되는트래픽 TCP/IP 모든헤더조합 (160 만개 Threshold 에대한추적및분석 ) 28
IntruGuard DDoS 공격차단방법 Violation Layer 2, Layer 3, Layer 4 ACL Layer 2 Frame Format, Layer 3 Protocol format, Layer 4 Protocol Format ACL Layer 2, Layer 3, Layer 4 ACL 알려진공격차단목적 ACL 의종류및수가장비성능에영향을미치지않음 Header Anomaly Layer 3 Layer 4 DDoS 방지메커니즘 State Anomaly Layer 4 (TCP) SCAN Network Scan(Layer 3) Port Scan(Layer 4) Dark Address Scan(Layer 3) Rate Anomaly Layer 2 Layer 3 Layer 4 29
IntruGuard 주요기술 주요기술 Micro-fine Granularity Adaptive Thresholds Virtual Identifiers Scan Prevention Source Tracking Protocol Anomaly Custom ASICs Taxonomy 설명 수백만개의개별 Source, Destinations, protocols, connections 및포트추적을통한모든종류의 DDoS 공격방지 Layers 2, 3 및 4 트래픽을감시하여 byte 및 packet count, TCP 상태전이, fragments, checksum, flags, 신규 connections 및주소 pair 를동적으로감시 모든서버및서브네트워크는매우동적인트래픽특성을가지며따라서독특한트래픽패턴, 추세, 및진폭을가짐 Layer 2-4 트래픽에대한트래픽추세, 패턴, 진폭을감시 ( 예 ) 프로토콜당패킷수, TCP 포트당패킷수, IP 주소당패킷수, 초당 SYN 패킷수등 장비 1 대를이용하여서브넷, 서비스등으로구분된 8 개의서브넷을각각관리하며, 160 만개의 Threshold 를 5 분단위로자동으로갱신하여 DDoS 공격탐지및방지 Port, Network, 및 Dark Address scans 공격탐지및방지 non-spoofed source attacks 을탐지하는데핵심기능 공격을발생시키는개별 Source 를탐지하고차단 IP, TCP, UDP, 및 ICMP 의모든 checksum 오류탐지및방지 TCP state 전이오류탐지및방지 Custom ASIC 을사용하여성능에영향없이모든종류의 DDoS 공격방지 모든종류의 DDoS 공격방지 Botnet 에의한 Zombie Flooding 방지 IP 스푸핑방지 SYN Flooding 방지 30
IntruGuard DDoS 차단기능 No 공격종류차단여부 1 IP 를변조한 TCP Syn Flooding 공격 2 IP 를변조한 TCP Syn-Ack Flooding 공격 (O,X 문제 ) 3 IP 를변조한 TCP Fin Flooding 공격 (O,X 문제 ) 4 IP 를변조한 UDP Flooding 공격 5 IP 를변조한 TCP/UDP/ICMP 공격 6 IP 를변조하지않은 TCP Syn Flooding 공격 7 IP 를변조하지않은 TCP Syn-Ack Flooding 공격 (O,X 문제 ) 8 IP 를변조하지않은 TCP Fin Flooding 공격 (O,X 문제 ) 9 IP 를변조하지않은 UDP Flooding 공격 10 HTTP 로의 Half-Open Attack 공격 11 HTTP 로의과다한 Request 공격 IntruGuard 는위공격이외에도추가적으로 TCP/IP 에서존재할수있는모든종류의 DDoS 공격을세밀하게방지함 추가적으로방지가능한 DDoS 공격예 Layer2 traffic Flooding 공격, Protocol Flooding 공격, 각종 Fragment Flooding 공격, ToS(Type of Service) Flooding 공격, IP Option Flooding 공격, Source Flooding 및 Source Tracking, IP Destination Flooding Tracking, Dark Address Scan, Network address Scan, TCP Option Flooding 공격, TCP Port Flooding 공격, UDP Port Flooding 공격, ICMP Type/Code Flooding 공격, TCP Connection Flooding 공격, Legitimate Traffic Flooding 공격, Port Scan, Layer 3 Anomaly 공격, Layer4 Anomaly 방지, 8 대가상장비등 31
IntruGuard 구성시나리오 In-line 구성 In-line HA 구성 32
IntruGuard 구성시나리오 In-line 고대역폭구성 33
IntruGuard 구성시나리오 Traffic Diversion 구성 (On Demand DDoS 방어 ) 환경 : 전체 Bandwidth 는장비가지원하는 2Gbps 를초과하지만, 특정서브넷또는서버공격트래픽은 Multi-Giga bps 이하 정상트래픽은정상적으로 Path 를거치지만, 공격트래픽은 IG200/2000 을거치도록수작업으로 Divert 시키면, IG200/2000 은트래픽을 clean 하여다시네트워크로 Inject 함. 주의 : IG200/2000 은 layer-2 bridge 이므로 MAC 주소나 IP 주소가없으므로 Diversion 을위해서는라우팅가능한 IP 주소를갖도록라우터나 L3 스위치를사용하여야함. 34
IntruGuard 구성시나리오 Traffic Diversion 구성 (On Demand DDoS 방어 ) 라우터에서공격트래픽을 IG2000으로 Divert시킴 IG2000은공격트래픽을제거한후, Clean 트래픽을네트워크로다시 Inject함 Sideline 설치는다중 IG2000을지원하므로 Multi-Giga bps를지원함 35
IntruGuard vs. DDoS 벤더 벤더 C 사제품 R 사 R 사 I 사 제품구성 탐지를위해상호연동되는 2 개탐지모듈 - 분석모듈및차단모듈 Side-line In-line In-line In-line 차단방식 Bypass 필터 - 오탐에의해문제가되는트래픽을통과시키기위해 Bypass 필터가사용됨 Flex 필터 - Layer 3 수준의공격 Signature - BPF(Berkley Packet Filter) 로 TCP/IP 헤더정보를이용한필터링기능제공 - Zone 마다별도의 Flex 필터설정필요 Dynamic 필터 - 트래픽플로우를분석 Filter 에의해분석, Basic 필터로완화하고, 실패시에는 Strong 필터를단계적으로적용하는메커니즘 Packet 수준차단필터자동생성 - Packet 의공통속성에의한차단 ( 예 : IP Header TTL 값 ) 공격탐지및차단소요시간 18 초 자동필터생성및차단 공격탐지및차단소요시간 90 초 Trusted IP 주소학습기반 탐지방식 아래요소들의조합을통한이상탐지 (Netflow 수준 ) - 트래픽볼륨 - 패킷사이즈및포트번호의분산 - 패킷의 Inter-arrival 시간 - 동시 Flow 의수 - In/out 트래픽의비율 V 사의 Fuzzy Logic 기반이상탐지전문가시스템 - Fuzzy 로직기반의네트워크트래픽행위학습전문가시스템에의한이상탐지 트래픽의수학적모델링에의한이상탐지 Bandwidth 대비 Traffic 비율 36
IntruGuard vs. DDoS 벤더 Cost $$ Deployment Complexity Cisco Guard/Arbor Radware Riorey IntruGuard Functionality and Performance 37
IntruGuard vs. DDoS 벤더 Feature C 사 IntruGuard Packet Inspection Technology Detection and Mitigation Rate-Based Anomaly Multiverification process (MVP) Multi-verification Technology using network processors Two independent appliances (Detector and Guard) Spoofed and non-spoofed attacks TCP (syns, syn-acks, acks, fins, fragments) UDP (random port floods, fragments) ICMP (unreachable, echo, fragments) DNS Client Attacks Inactive and total connections HTTP Get flood BGP attacks Dynamic Filtering Active Verification Anomaly Recognition Protocol Analysis Rate Limiting 세밀한기능을 Chip(ASIC, FPGA) 으로구현하여지속적이고동적으로모든패킷및트래픽을검사하여 DDoS 방지 Single appliance does both detection and mitigation. ARP, RARP Multicast Broadcast VLAN Double Encapsulated VLAN Protocol (all 256 including TCP, UDP, ICMP, IPSec, BGP, ) Options (32) Fragment Source Destination TOS (all 256) Network Scan Dark Address Scan TCP Ports (all 64K including HTTP, SSL, DNS, ) UDP Ports (all 64K) ICMP Type/Codes (all 64K) TCP Options (32), Port Scan Connection Flood, SYN Flood, Zombie Flood Excessive Connection/Source flood, Excessive Connections/Destination flood TCP State violation floods Dynamic Filtering Active Verification Anomaly Recognition Protocol Analysis Rate Limiting State Anomaly Recognition Stealth Attack filtering Dark address scan prevention Source Tracking Legitimate IP address Matching (for anti-spoofing)
IntruGuard vs. DDoS 벤더 Feature R 사 IntruGuard Packet Inspection Technology IPS 기능은 FPGA 로구현 DDoS 방지메커니즘은 software 로구현하여 CPU 에서동작하므로성능및공격방지기능에문제가있음 세밀한기능을 Chip(ASIC, FPGA) 으로구현하여지속적이고동적으로모든패킷및트래픽을검사하여 DDoS 방지 최악의상황에서도성능보장 Rate-Based Anomaly Source IP Destination IP Source Port Destination Port Packet ID, Packet size TTL (Time to Live) ToS (Type of Service) ICMP Message Type ARP, RARP Multicast Broadcast VLAN Double Encapsulated VLAN Protocol (all 256 including TCP, UDP, ICMP, IPSec, BGP, ) Options (32) Fragment Source Destination TOS (all 256) Network Scan Dark Address Scan TCP Ports (all 64K including HTTP, SSL, DNS, ) UDP Ports (all 64K) ICMP Type/Codes (all 64K) TCP Options (32), Port Scan Connection Flood, SYN Flood, Zombie Flood Excessive Connection/Source flood, Excessive Connections/Destination flood TCP State violation floods
IntruGuard vs. DDoS 벤더 Feature R 사 IntruGuard Format Anomalies IP Checksum TCP Checksum TCP Flags ICMP Checksum UDP Checksum ICMP Message Type DNS Query DNS Query ID Layer 3 Header Anomaly Version other than 4 or 6 Header length less than 5 words Incorrect header checksum Source or Destination address equal to Local Host (loopback address spoofing) Source address is equal to Destination (Land attack) EOP before 20 byte of IPV4 Data Total length less than 20 EOP comes before the length specified by Total length End of Header before the data offset (while parsing options) Length field in LSRR/SSRR option is other than (3+(n*4)) where n takes value greater than or equal to 1 Pointer in LSRR/SSRR is other than (n*4) where n takes value greater than or equal to 1 For IP Options minimum length should be 3 Layer 4 Header Anomaly Invalid TCP/UDP/ICMP checksum Invalid TCP flag combination Urgent flag is set then the urgent pointer must be non-zero SYN or FIN or RST is set for fragmented packets Data offset is less than 5 for a TCP packet End of packet is detected before the 20 bytes of TCP header EOP before the data offset indicated data offset Length field in Window scale option other than 3 in a TCP packet TCP Option length less than 2 Missing UDP payload Missing ICMP payload
IntruGuard vs. DDoS 벤더 Feature R 사 IntruGuard Outside TCP/UDP window 수신측 TCP Windows 의외부에속한패킷 TCP State Anomalies TCP Sequence Number Foreign packet 알려진 TCP Connection 에속하지않은패킷 IG200/2000 는백만 TCP 동시 Connection 을저장함 State transition anomalies TCP state transition rules 에위배되는패킷 VID 1 8