|
||
## DDoS 공격 비상, 어떻게 대처할 것인가?
- 7.7 DDoS 공격 유형 분석 및 대응방안
- Date : 2009.07.16
- Soultion S.E 최우형(whchoi@cisco.com)
@ 7.7 DDoS 대란 요약 분석
1차 DDoS 공격 (2009.7.5~6)
2차 DDoS 공격 (2009.7.7~8) : 국내 12개, 미국 14개
3차 DDoS 공격 (2009.7.8~9) : 국내 15개, 미국 1개, 주요 정부기관, 금융, 인터넷 포털 사이트
4차 DDoS 공격 (2009.7.9~10) : 국내 7개 주요 정부기관, 금융, 인터넷 포털 사이트
DDoS공격 종료(2009.7.10 18:00)
@ 7.7 DDoS Summary
- 7.5 22:00 ~ 7.6 18:00 미국 공공, 언론, 금융, 포털 사이트 중심
-> 미국 해결책) 한국 IP 전체 차단으로 해결(www.dhs.gov, www.ftc.gov)
@ 7.7 DDoS Summary 2차 한국/미국 사이트 공격 분석 요약
- 공격 사이트가 접속 불능 상태
@ 7.7 DDoS Summary 3차 한국/미국 사이트 공격 분석 요약
- 국내 13개 / 미국 1개(주한미군 사이트)
- DDoS 대응 장비 및 Site 주소 변경, GSLB 구성
- 미국 주용 사이트들에서는 한국 IP의 접속 지속적으로 차단
- 감염된 Zombie에서 HDD를 손상시키는 변종 발견(실제 피해는 크지 않음)
@ 3차 한국/미국 사이트 공격 분석 요약
- 청와대,국방부, 전자민원G4C
- 주한미군 www.usfk.mil
@ 7.7 DDoS Summary 4차 한국 사이트 공격 분석 요약
- 국내 7개 주요 정부기관, 포털 사이트 공격
- Zombie List가 최대 18만대 이상으로 파악
@ 7.7 DDoS Issue Summary zombie IP 분석
- 대략 18만 8천대, IP 변조 없이 공격에 참가
- 3만대는 적극적인 공격을 수행
- 일반 인터넷 IP(가정용), 대학, PC방
- 기업, 공공기관쪽에는 크게 가담되지 않았음
@ 7.7 DDoS Issue Summary zombie Traffic 분석
- Zombie PC 당 : 103 pps, 18.5Kbyte/sec 전송
- Http Get Flooding : 20 pps, 12Kbyte/sec 전송
- Http(TCP 80) Flooding : 40 pps, 3.6Kbyte/sec 전송
- UDP 80 Flooding : 20 pps, 1.4Kbyte/sec 전송
- ICMP Flooding : 23 pps, 1.5Kbyte/sec 전송
- Zombie 10만대 추정치 Traffic
= 공격 site 수가 줄어 들수록, 공격지에 대한 traffic의 크게 증가함
@ 7.7 DDoS 공격 상세 분석
1) 대규모 Zombie PC와 low level attack
2) C&C Server가 없는 새로운 공격 형태
3) 정교한 TCP/HTTP Attack
- 대규모 Zombie와 소규모 공격
- C&C(Command&Control) server가 없는 최초의 DDoS : *.nls 파일로 포함
- 정교한 TCP 공격 방식 : 초당 40pps 미만의 TCP 80 공격, 초당 20pps 미만의 HTTP Get 공겨
- 정교한 TCP 공격 방식 : HTTP CC Attack, HTTP Get flooding과 동일한 증상이 발생
= CC Attack 으로 인한 예기치 못한 사고 발생 가능성
@ 7.7 DDoS 공격 방어 솔루션 Overview
1) Router/Switch
- 1Mpps 이상 처리 요량 정비로 구성 권고
- 적절한 ACL을 통한 사전 방어 필요
- Fragment 공격 차단 설정
- 보안팀, 네트워크팀이 연계가 되어 차단 설정
2) Cisco Guard / Detector
- Guard 기반의 정책 설정
- TCP Connection 정책 설정
- HTTP Syn 정책 설정
- HTTP Request 정책 설정
- HTTP Zombie 메커니즘 설정 : HTTP cookie 발행해서, 응답을 확인
- Flex Filer 기반의 CC 공격 방어
3) Victim SVR
- GSLB 기반의 부하 분산 기법 설정
- SVR 보안 도구 설정
@ 7.7 DDoS 공격 방어 솔루션 Router / Switch
ip access-list extended fragment deny ip any any fragments
ip access-list extended fragment deny udp any any
ip access-list extended fragment deny icmp any any
ip access-list extended fragment permit ip any any
@ 7.7 DDoS 공격 방어 솔루션 Cisco Guard / Detector
1. UDP/ICMP/Fragment Drop 설정
2. TCP Connection 정책 설정
3. HTTP Syn 정책 설정
4. HTTP Request 정책 설정
5. HTTP Zombie 정책 설정
6. Flex Filter 설정
1. user-filter 1 drop * * * fragments rate-limit 1 1 pps
user-filter 2 drop * 17 * no-fragments rate-limit 10 10 pps
user-filter 3 drop * 1 * no-fragments rate-limit 1 1 pps
2. policy tcp_connections_ns/any/basic/in_nodata-conns/src_ip 5.00 filter/drop 60 active 1 0
3. policy http/80/basic/syns/src_ip 5.0 filter/drop 600 active 1 0
4. policy http/80/basic/reqs/src_ip 20.00 filter/drop 600 active 1 0
5. policy tcp_connections/any/basic/num_source/global 500.00 redirect/zombie 600 active 1 0
6.CC Attack의 경우, User Agent filed에 Cache-control; no-store, must-revalidate
@ 7.7 DDoS 공격 방어 솔루션
- 11개 사이트, 장비 지원
@ Cisco Guard & Detector 입니까?
1. HTTP 에 가장 정교하게 방어할수 있는 솔루션
2. 가장 많은 경험과 노하우. 지원체계
3. Out of Path 기반의 탁월한 DDoS 방어 디자인
4. 대용량 설계기반을 통한 높은 성능
6. 검증된 솔루션 - 국내 70여개 대행 레퍼런스
[Q&A]
! 가드-디텍터가 같이 있어야 함
7.7 DDoS 공격 유형 분석 및 대응방안 웹 세미.txt
July_DDoS_Webseminar(1).a00
'Technology > CISCO 웹세미나' 카테고리의 다른 글
| [시스코 웹 세미나] 802.11n을 이용한 통합무선환경 구축 (0) | 2010/02/18 |
|---|---|
| [웹세미나] Cisco Collaboration 2.0 (0) | 2009/11/24 |
| [웹세미나] 시스코 L4/L7 스위치 ACE의 알아두면 재미있는 가상화 기술 (0) | 2009/09/01 |
| [웹세미나] Cisco 802.11n 무선랜 솔루션 소개 (0) | 2009/08/22 |
| [웹세미나] 무선 네트워크 그 한계는 어디인가? (0) | 2009/08/18 |
| [웹세미나] 7.7 DDoS 공격 유형 분석 및 대응방안 웹 세미나 (0) | 2009/07/16 |
댓글을 달아 주세요