-
Notifications
You must be signed in to change notification settings - Fork 1
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
Lim
committed
Feb 26, 2024
1 parent
4514395
commit 15204f1
Showing
1 changed file
with
63 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,63 @@ | ||
| ## 9.5 DDoS 방어 장비 | ||
|
|
||
| - 기존 공격은 직접 공격해 관리자 권한을 탈취하는데 초점이 맞추어져 있었다면 방화벽 대중화 이후의 공격은 정상적인 서비스가 불가능하도록 방해하는 데 초점이 맞추어져 있음 | ||
| - 이 공격 방식을 DoS(Denial of Service) 공격이라고 함 | ||
| - 하지만 해커 단독으로 하나의 서비스를 불가능하게 만드는 데는 제한이 많음 | ||
| - 그래서 다수의 공격자를 만들어 동시에 DoS 공격을 하는 분산형 DoS인 DDoS 공격 방식으로 발전했고 이런 공격을 방어하기 위해 DDoS 전용장비가 등장 | ||
|
|
||
| ### 9.5.1 DDoS 방어 장비의 정의 | ||
|
|
||
| - 초기 DDoS 공격은 시스템이나 네트워크 장비의 취약점이 타깃인 경우가 많았음 | ||
| - 단순한 DDoS 형태의 공격들도 다양한 기존 장비를 보완하는 기능이 나오고 취약점을 노린 DDoS 공격도 제조업체들이 보안 패치 대응으로 큰 효과를 발휘하지 못하자 다양한 DDoS 공격 형태가 등장 | ||
| - DDoS 방어 장비는 볼류메트릭 공격을 방어하기 위해 트래픽 프로파일링 기법을 주로 사용하고 인터넷의 다양한 공격 정보를 수집한 데이터베이스를 활용하기도 함 | ||
|
|
||
| ### 9.5.2 DDoS 방어 장비 동작 방식 | ||
|
|
||
| - DDoS 방어 서비스로는 클라우드 서비스, 회선 사업자의 방어 서비스, DDoS 방어 장비를 사내에 설치하는 방법이 있음 | ||
| - 회선 사업자와 DDoS 방어 장비를 이원화해 협조하는 서비스도 많이 등장하고 있음 | ||
| - DDoS 공격을 탐지해 공격을 수행하는 IP 리스트를 넘겨주면 방어 장비나 ISP 내부에서 이 IP를 버리는 것이 가장 흔한 DDoS 방어 기법 | ||
| - DDoS 장비가 DDoS 여부를 판별하는 방식은 다양함 | ||
| - 우선 DDoS 방어 장비의 주요 차단 방법인 프로파일링 기법 | ||
| - 평소 데이터 흐름을 습득해 일반적인 대역폭, 세션량, 초기 접속량, 프로토콜별 사용량 등을 저장 | ||
| - 이렇게 습득한 데이터와 일치하지 않는 과도한 트래픽이 인입되면 알려주고 차단 | ||
| - 습득한 데이터는 다양한 날짜 범위와 다양한 요소를 모니터링함 | ||
| - 또 하나의 방법은 일반적인 보안 장비처럼 보안 데이터베이스 기반으로 방어하는 것 | ||
| - IP 평판 데이터베이스를 공유해 DDoS 공격으로 사용된 IP 기반으로 방어 여부 | ||
|
|
||
| ### 9.5.3 DDoS 공격 타입 | ||
|
|
||
| - DDoS 공격은 다양한 기법이 있지만 일반적으로 회선 사용량을 가득 채우는 볼류메트릭 공격(Volumetric Attack)과 3, 4계층의 취약점과 리소스 고갈을 노리는 프로토콜 공격, 애플리케이션의 취약점을 주로 노리는 애플리케이션 공격 3가지가 있음 | ||
|
|
||
| ### 9.5.4 볼류메트릭 공격 | ||
|
|
||
| - 볼류메트릭 공격은 회선 사용량이나 그 이상의 트래픽을 과도하게 발생시켜 회선을 사용하지 못하도록 방해하는 공격이므로 회선을 공급해주는 ISP 내부나 사용자 네트워크 최상단에 위치시켜 이 공격을 완화해야 함 | ||
| - DDoS 장비는 주로 볼류메트릭 공격이나 프로토콜 공격을 방어하는데 사용 | ||
| - 혼자 방어할 수 없는 공격도 많으므로 회선을 공급하는 ISP와 공조해 방어할 필요가 있음 | ||
|
|
||
| #### 9.5.4.1 좀비 PC를 이용한 볼류메트릭 공격 | ||
|
|
||
| - 볼류메트릭 공격은 특정 시간에 특정 타깃을 공격하는 형태로 발생 | ||
| - 공격자가 상대적으로 적은 대역폭으로 중간 리플렉터에 패킷을 보내면 이 트래픽이 증폭되어 피해자 네트워크에 수십~수백 배의 공격 트래픽이 발생하는 공격법을 증폭 공격이라고 함 | ||
| - ISP를 통한 방어나 Cloud DDoS 솔루션을 통해 서비스 네트워크로 트래픽이 직접 도달하지 못하도록 조치해야 함 | ||
| - 클라우드 기반 서비스는 DDoS, WAF과 같은 별도의 보안 장비 없이도 다양한 DDoS 공격을 방어할 수 있다는 장점이 있음 | ||
| - 클라우드 기반 서비스의 최대 장점은 실제 서비스 네트워크가 가려지므로 네트워크 차원이나 대규모 볼류메트릭 공격도 큰 투자 없이 방어할 수 있다는 것 | ||
|
|
||
| ## 9.6 VPN | ||
|
|
||
| ### 9.6.1 VPN 동작 방식 | ||
|
|
||
| - VPN은 가상 네트워크를 만들어주는 장비로 터널링 기법을 사용 | ||
| - 패킷을 터널링 프로토콜로 감싸 통신하는 기법이 터널링 기법 | ||
| - 패킷을 암호화하거나 인증하거나 무결성을 체크하는 보안 기능을 이용해 인터넷에 패킷이 노출되더라도 해커나 기관들이 감청하지 못하도록 보호할 수 있음 | ||
| - 현재 가장 많이 사용되는 보안 VPN 프로토콜은 IPSEC과 SSL | ||
| - 일반적으로 VPN은 3가지 형태로 구현 | ||
| - Host to Host 통신 보호 | ||
| - 두 호스트 간에 직접 VPN 터널을 연동하는 기법 | ||
| - VPN 구성으로 잘 사용하지 않음 | ||
| - Network to Network 통신 보호 | ||
| - 본사-지사 같은 특정 네트워크를 가진 두 종단을 연결하는 경우 | ||
| - IPSEC 프로토콜 스택이 가장 많이 사용됨 | ||
| - Host가 Network로 접근할 때 보호 | ||
| - 모바일 사용자가 일반 인터넷망을 통해 사내망으로 연결하는 경우이며 IPSEC과 SSL 프로토콜이 범용적으로 사용 | ||
| - 이런 서비스는 단순히 사이트를 우회하는 기법으로 많이 사용되지만 카페와 같은 공중 무선망을 사용할 때, 해커의 공격을 암호화 기법으로 원천방어할 수 있어 공중 네트워크를 사용하는 경우, 이런 VPN을 보안에 활용하는 것이 좋음 | ||
| - 클라우드 기반의 VPN은 언급했던 데이터가 암호화되고 보호되므로 외부에서 패킷을 확인할 수 없다는점을 이용한 것 |