01. 개요

DDoS는 해킹 방식의 하나로 여러 대의 공격자를 분산 배치하여 동시에 서비스 거부 공격을 하는 것을 말한다. 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 해킹 방식의 하나이다.

서비스 공격을 위한 도구들을 여러 대의 컴퓨터에 심어놓고 공격 목표인 사이트의 컴퓨터 시스템이 처리할 수 없을 정도로 엄청난 분량의 패킷을 동시에 범람시킴으로써 네트워크의 성능을 저하시키거나 시스템을 마비시키는 방식이다.

이로써 이용자는 정상적으로 서비스를 이용할 수 없는 것은 물론 심한 경우에는 주 컴퓨터의 기능에 치명적 손상을 입을 수 있다.

공격은 일반적으로 악성코드나 이메일 등을 통하여 일반 사용자의 PC를 감염시켜 이른바 ‘좀비 PC’로 만든 다음 C&C(명령제어) 서버의 제어를 통하여 특정한 시간대에 수행된다.

02. DDoS 시나리오

· HTTP 헤더 중 User-agent에 Cache-Control 환경변수를 “no-store, must-revalidate”로 세팅 하여 피해서버에  패킷을 전송하는 Dos공격이다.

· 클라이언트의 요청에 의해 서버가 계속적으로 응답하도록 유도한다. 클라이언트가  서버에 요청페이지에 대한 정보를 요청 시 서버는 정보를 지속적으로 재회신하는 상황이 발생함으로써 서버의 시스템  리소스가 과다 사용으로 고갈된다.

 2) 복합적인 공격을 통한 서비스 거부 공격 

 TCP/UDP/TCP/UDP/ICMP Flooding+ CC Attack 등의 복합적인 공격을 통한 서비스 거부공격을 SIEM의 집중관제 기능을  활용하여 탐지하는 방법은 아래와 같다.

① 실시간 로그 분석을 통해 집중관제 대상의 장비의 로그를 분석

② 단일경보를 활용하여 DDoS 공격에 대해 탐지(IPS장비에서 탐지된 시그니처명 활용)

③ 분석된 로그와 단일 경보에 대한 정보를 활용하여 집중 모니터링 및 대응 

03. 모의훈련

그럼 악성코드에 감염된 내부사용자가 다양한 보안장비들에서 어떻게 탐지가 되는지, 그리고 SIEM을 활용하여 어떻게 대처 할 수 있을 지 알아보자. SIEM은 각 장비 별로 사용자가 쉽게 확인 할 수 있도록 상관분석 및 시각화 기능이 적용된 대시보드를 제공하고 있다.

 1) 집중관제 기능 활용

 ▷ 훈련 현황 실시간로그

     -  실시간 로그 분석을 통해 집중관제 대상 IP 선출

 ▷ 집중관제 등록 화면

 ▷ 집중관제 등록 완료 화면

 ▷ 훈련 현황 대시보드

 

 ▷ 훈련 현황 대시보드-상세분석

 ▷ 훈련 상황 전파

04. 결론

DDoS공격 방어를 위해 평소 SPiDER TM의 집중관제 기능을 활용한 모의 대응 훈련은 매우 유용하다. 

체계화된 훈련을 지속적으로 시행함으로써 실제 상황 발생 시 효율적으로 대응할 수 있음은 물론 모의 훈련을 통해 취약점을 사전에 발견하여 조치함으로써 공격을 예방할 수 있다.

또한, 실제 공격 발생 시 정확한 상황인지, 빠른 전파 및 즉각적 대응을 통해 사이버 위협으로부터 내부 자산을 보호할 수 있다.