JNB
rss

skin by 이글루스

보안

신종 변종 DDoS 공격 특집 09.07.15 8:28

<이 글의 저작권은 (주)피지피넷에 있습니다.
불법적인 링크나 복제는 금합니다.>

새로운 유형 공격의 해결책은 신속한 분석을 통한 대처 및 사후 재발 방지가 최선이다


이번 7월 7일 신종 DDoS 공격에 많은 기업 / 공공기관 / 금융권 들이 노출되어 허무하게 공격의 희생양이 되었다.

그들이 과연 고가의 보안 장비와 보안 인력이 없었을까?

방화벽 / Virus Wall / 웹 방화벽 / L7 Switch /IPS / DDoS 전용 장비들이 주요 관문을 지키고 있었으나 신속한 대처 및 재발 방지가 지연되었던 가장 큰 원인은 지금까지와는 다른 공격 형태에 대한 인식이 없었기 때문이다.

한국 네트워크의 보안 시스템 환경을 꿰 뚫고 있는 해커!! 그들은
과거 DDoS 의 가장 많은 형태로 이용되어왔던 TCP SYN Flooding / UDP 80 Flooding / ICMP Flooding은 대량의 트래픽을 발생시킴으로써 네트워크 및 시스템에 영향을 주는 형태였으나 이번에 발생된 신종 DDOS 공격의 형태는 특정 시스템에서 발생하는 트래픽 양을 줄이는 대신 정상적인 HTTP 쿼리 발생 / 정상적인 세션의 과다 발생을 통한 세션 과부하로 인한 시스템 부하를 야기시켜 서비스 접속 불량이 목적이였다.

트래픽 양을 기준으로 한 다양한 보안 장비들의 사전 대응이 이번 공격을 막지 못한 이유도 여기에 있다.


우리의 네트워크 및 시스템은 이러한 새롭게 진화되고 DDOS 공격 및 새로운 유형의 공격으로부터 안전할까?

이번에는 국내 여러 사이트가 공격 대상이 되면서, 보안업체 및 국가적인 후속조치가 취해졌지만, 혹 바로 우리회사가 특정 목적을 가진 위험 인자로 부터 단독적으로 이러한 위협에 노출된다면 우리는 재빨리 원인을 찾을 수 있을까? 현실은 포렌직 스니퍼 시스템 없이는 원인을 알 수 없는 실정이다..


이제는 사전 징후에서 찾지 못하는 다양한 신종 DDoS 패턴에 대해 정확한 분석을 통한 신속한 대처 및 재발 방지등 사후조치에 역점을 두어야 할때다. 모든 공격들이 똑같은 패턴이 아닌 새로운 형태로 우리의 네트워크를 공격 하고 있다.
대부분의 서비스 업체들이 사전 대비 시스템을 운영하고 있지만, 사후 대비는 부족한 실정이며, 사전 대비가 얼마나 실효를 거두고 있는 지는 매번 이러한 사고가 발생할 때 마다 적나라하게 그 실패의 면모가 드러나고 있다.
사후조치의 기본은 어떤 유형의 공격인지 어느 시스템에 영향을 미치는지에 대한 명확한 원인 규명이 가장 근본적이며 최선의 방법이다.

이 모든 사후 조치의 기본은 사고 발행 수 시간 또는 몇 분 전의 RAW Packet 이 확보이다 그래야만 빠른 원인 분석 및 해결책(증거) 제시가 가능하다.

아래 나와있는 DDOS 실제 패킷 분석 사례를 통해 최근의 네트워크 침해 공격 유형을 확인하면 포렌직 스니퍼 시스템으로 RAW 패킷의 대용량 수집을 통한 사후 분석의 중요성을 확인이 가능하다.
정확한 유형을 찾아내어 그 원인을 규명하여, 타 보안 시스템 (IPS,방화벽,DDoS전용 장비등)에 소스 정보를 제공함으로써 기존 보안 장비의 활용도를 더 높이고 이를 통한 더 이상의 확산과 재발이 가장 중요하다.




앞서 보면 이번 신종 DDoS 공격은 이제와는 다른 공격 유형이였다.
보안장비들은 동일하거나 유사한 패턴 공격이 아니면 막아내지 못했다.

보안장비는 모든 공격에 근본적인 문제해결 방식이 아니며, 사고후에도 패턴 업데이트 전에는 무용지물이였다.
사고 후 아래 그림과 같이 서비스가 중단되기 전에 우리는 재빠르게 네트워크 문제를 해결해야한다.





이처럼 사고가 발생되더라도 MTTR(문제해결시간) 감소를 통한 안정적인 서비스 운영을 하기위해서는 보안장비만 가지고는 대비가 불가능하다.

사고 발생 직후 포렌직 스니퍼 시스템으로 사고시점의 트래픽을 분석하여 아래와 같이 조치해야한다.
새로운 변종 DDOS 공격 및 새로운 형태의 공격시에는 신속 정확한 패턴을 분석하여 타 보안시스템(IPS,방화벽,DDOS전용장비등)에 소스 정보 제공 하여 해당 공격을 막아야 한다.그리고 사고발생 후 특정시간의 RAW Packet확보(네트워크 포렌직)하여 빠른 원인 분석 및 해결책(증거) 제시하여 서비스 운영에 차질이 없게 한다.
또한 네트워크 장애 예방 시스템 구축 하여 다양한 네트워크 이상 징후(트래픽 과다 급증/급감, 어플리케이션 서비스 지연등)에 대한 신속한 조기 경보 시스템 구축 하여야 한다.

다음은 포렌직 스니퍼 시스템으로 분석한 이번 신종 DDoS 사례이다.


타사 유해 트래픽 사례 [1] – DDOS 공격 사례[2009.7.7]

[DDOS 발생에 대한 네트워크 증상]

* L4 Switch의 세션량 증가

- L4 스위치의 최대 세션 처리량을 초과하는 트래픽이 Banking Server IP를 대상으로 발생 (DDOS)

- 데이터량은 미미하나 다량의 세션을 지속적으로 연결함.

- HTTP GET 1.1 Request를 반복적으로 발생.

- TCP Syn flag를 포함한 HTTP 변조 트래픽의 반복적인 생성.






DDOS 공격 사례[2009.7.7]

[대량의 Connection 발생 확인]






DDOS 공격 사례[2009.7.7]-패턴 [1]





DDOS 공격 사례[2009.7.7]-패턴 [2]





DDOS 공격 사례[2009.7.7]-패턴 [3]






pdf 파일 원하시는 분은 hksong@pgpnet.com 으로 신청해주시기 바랍니다.

        

    
Copyright 1999-2018 Zeroboard / skin by JY