DDoS 공격방식과 유형에 따른 대응방안 알아봅시다

DDoS 공격방식은 다수의 좀비 PC를 악성코드에 감염시켜 특정 서버에 동시에 공격하도록 명령하는 분산형 서비스거부공격입니다. 좀비 PC를 통제하는 Agent의 설치는 P2P, 악성코드, 사회공학적 기법 등 다양한 방법이 사용됩니다. 이 문서에서는 DDoS 공격 방식에 대해 이해하고 다양한 공격 유형에 효과적으로 대응할 방법을 알아보겠습니다.

DDoS 공격방식

DDoS 공격은 다음과 같이 사전에 다수의 일반 PC를 Agent에 감염시켜 좀비화하는 것에서 시작합니다. 감염된 PC는 공격자로부터 IRC 채널을 통해 공격대상 서버에 공격을 지시받습니다. 이후 다수의 좀비 PC가 특정 서버에 무차별적으로 접속하여 특정 서버나 또는 네트워크 상의 모든 Server를 서비스불가 상태로 만들어 버립니다.

DDoS 공격을 위한 절차를 설명한 그림

Agent 유포방식

AGent는 Zombie PC 안에서 실행되어 원격 서버에 접속해 공격자의 명령을 전달하는 프로그램입니다. 공격자는 사전에 Agent를 Zombie PC에 심기위해 토렌트와 같은 P2P를 통해 공유되는 불법 소프트웨어에 DDoS Agent를 심어놓거나, 악성코드나 바이러스를 통해 PC를 감염시키는 방법을 이용합니다.

  • 정상 소프트웨어에 악성코드인 DDoS Agent를 삽입
  • 바이러스나 웜에 감염시켜 Agent를 삽입
  • 사회공학적 기법을 이용하여 Agent를 전파
  • 보안이 취약한 사이트에 악성코드를 유도하여 접속자에게 Agent를 전파

DDoS 공격유형

인터넷 인프라를 기반으로 서비스를 무력화시키는 시키는 DDoS 공격의 유형은 다음과 같습니다. 가령 대량의 트래픽을 전송하여 서버에 부하를 발생시키거나 회선 대역폭을 초과시키는 방법이 사용됩니다. 대표적인 유형별 특징은 아래 표를 참고 바랍니다.

DDoS 공격의 유형-PPS증가-웹서비스지연-대용량 트래픽전송-방법의비교
DDoS 공격의 유형

인터넷 기반 DDoS 공격은 대표적으로 ‘초당패킷수(PPS)를 증가’시키거나 실제 서버접속을 통한 HTTP Flooding을 유발하는 방법이 있습니다. 그리고 ‘대용량 트래픽 전송’을 통해 회선의 허용 대역폭을 초과시켜 동일 네트워크를 사용 중인 모든 시스템의 서비스를 중단시키기도 합니다.

DDoS 대응방안

분산 서비스 거부 공격의 대응 방안으로는 기존의 시스템을 모니터링하거나 전용 대응 솔루션을 활용할 수 있습니다.

1. 전용 솔루션 활용

NBA 기반의 DDoS 공격 대응 시스템을 사용하거나 IPS, 웹가속기 또는 L4 보안 스위치 등을 적용할 수 있습니다. 최근에는 머신러닝 기반의 지속적인 학습을 통해 DDoS 공격을 감지하거나 공격을 탐지하는 솔루션 있습니다. 이와 관련해서 다음의 정보를 참고 바랍니다.

최근의 DDoS 대응 솔루션은 IPS, DLP, Anti-APT, 안티바이러스와 같은 다양한 외부 공격에 통합적으로 대응할 수 있는 기능을 제공합니다. 

서버 다중화

대용량 트래픽의 무차별 전송으로 동일 네트워크 서버 전체가 중단되는 위험을 막기 위해 서버를 다중 구성하는 방식이 있습니다. 가령 DNS 서버를 다중화하거나 DNS 전용회선을 준비할 수도 있습니다. 또한 공격 대상 서버에 대해 NULL 라우팅을 적용하여 동일 네트워크상의 다른 서버나 서비스를 보호할 수 있습니다.

2. 시스템 모니터링

MRTG 사용

평소보다 증가된 PPS (초당패킷수) 및 BPS (초당 비트수)를 MRTG를 이용해 모니터링 하는 것입니다. 가령 ‘평상시보다 2~3배 많은 PPS가 10분 이상 지속되는 경우’와 같은 조건을 정의하고 모니터링합니다.

네트워크 장비 모니터링

이 외에 네트워크 장비의 CPU, 메모리, 세션의 사용량을 모니터링하는 방법을 사용할 수 있습니다. 가령, 웹서버에서 대량의 세션 연결상태가 지속되거나 SYN RECEIVED 상태가 급격히 증가하는 경우 DDoS 공격의 징후로 판단할 수 있습니다.

로그분석

네트워크 스위치나 라우터 방화벽 등에서 제공하는 Logging에 대해 모니터링을 수행할 수 있습니다. 가령 특정 IP가 출발지인 패킷이 대량으로 전송되는지 등을 체크하는 방식입니다. 또는 웹서버에서 동일한 페이지에 대해 요청이 급격하게 증가하는 것도 공격의 징후입니다.

모니터링 툴

시스코의 Netflow나 FlowScan 등을 이용해서 가장 많은 트래픽을 유발하는 IP, FPS (Flow Per Second), IP 주소 및 프로토콜 등과 같은 특이사항을 체크할 수 있습니다. 참고로 Netflow의 경우 사용시 네트워크 장비의 부하가 발생할 수 있으므로 주의가 필요합니다. 

가령 BPS, FPS, PPS의 비정상적인 증가시 다음의 방법으로 대응할 수 있습니다.

  • 비정상 IP에 대한 ACL (접근제어목록)의 적용
  • 해외 트래픽의 차단 (ISP나 IDC와 협업하여 특정 트래픽의 접속을 차단)
  • Syn Proxy나 Cooki 기능의 사용

이 외에 기존의 네트워크 장비에 대해 보안패치를 적용하거나 노후된 경우 앞서 설명드린 전용 대응 솔루션으로 교체하는 것도 좋은 방법입니다.


이상으로 DDoS 공격방식의 유형에 따른 대응 방안에 대해서 자세히 살펴보았습니다. 이와 관련된 다른 글은 아래를 참고 바랍니다.

Leave a Comment