보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

집중관제를 활용한 DDoS훈련 대응방안

2017.10.11

6,750

기술지원센터 기술지원팀

 

 

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보합니다.   

 

 

1. DDoS 공격 개요

 

'분산 서비스 거부' 또는 '분산 서비스 거부 공격'이라고도 한다. 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 해킹 방식의 하나이다. 서비스 공격을 위한 도구들을 여러 대의 컴퓨터에 심어놓고 공격 목표인 사이트의 컴퓨터시스템이 처리할 수 없을 정도로 엄청난 분량의 패킷을 동시에 범람시킴으로써 네트워크의 성능을 저하시키거나 시스템을 마비시키는 방식이다.

이로써 이용자는 정상적으로 서비스를 이용할 수 없는 것은 물론 심한 경우에는 주 컴퓨터의 기능에 치명적 손상을 입을 수 있다. 공격은 일반적으로 악성코드나 이메일 등을 통하여 일반 사용자의 PC를 감염시켜 이른바 '좀비PC'로 만든 다음 C&C(명령제어) 서버의 제어를 통하여 특정한 시간대에 수행된다.

 

 

2. DDoS 시나리오

 

1) CC attack 공격을 통한 서비스 거부 공격

 

HTTP 헤더 중 User-agent에 Cache-Control  환경변수를 “no-store, must-revalidate”로 세팅 하여 피해서버에 패킷을 전송하는 Dos공격이다. 클라이언트의 요청에 의해 서버가 계속적으로 응답하도록 유도한다.  클라이언트가 서버에 요청페이지에 대한 정보를 요청 시 서버는 정보를 지속적으로 재회신하는 상황이 발생함으로써 서버의 시스템 리소스가 과다 사용으로 고갈된다.

 

 


 

 

2) 복합적인 공격을 통한 서비스 거부 공격

 

TCP/UDP/ICMP Flooding+ CC Attack 등의 복합적인 공격을 통한 서비스 거부 공격을 SIEM의 집중관제 기능을 활용하여 탐지하는 방법은 아래와 같다.

① 실시간 로그 분석을 통해 집중관제 대상의 장비의 로그를 분석

② 단일경보를 활용하여 DDoS 공격에 대해 탐지(IPS장비에서 탐지된 시그니처명 활용)

③ 분석된 로그와 단일 경보에 대한 정보를 활용하여 집중 모니터링 및 대응​

 

 


 

DDoS 공격을 막기 위한 DDoS 대응 훈련 방법을 알아보자. 

 

 

3. DDoS 대응훈련

 

1) 집중관제 기능 활용

 

훈련 현황 실시간로그

- 실시간 로그 분석을 통해 집중관제 대상 IP 선출  

 

 


 

 

집중관제 등록화면

 

 


 

 

집중관제 등록완료화면

 

 


 

 

훈련 현황 대시보드

 

 



 

 


 


훈련 현황 대시보드-상세분석

 

 


 


훈련상황전파​

 

 


 

 

4. 결론

 

DDoS공격 방어를 위해서는 평소 SPiDER TM의 집중관제 기능을 활용한 대응 훈련이 필요하다. 체계화 된 훈련을 지속적으로 시행함으로써 실제 상황이 발생 시 잘 대응할 수 있음은 물론 모의 훈련을 통해 취약점을 사전에 발견하여 조치함으로써 공격을 예방할 수 있다. 또한 실제 공격발생시 정확한 상황 인지, 빠른 전파 및 즉각적 대응을 통해 사이버 위협으로부터 내부 자산을 보호할 수 있다.