Transcript AEGIS DX

SPECTO D 공격 방어 기술
DDoS 대응 장비
기술연구소
주요 DDoS 공격 유형
2
참고. Akamai, Q3 2014 DDoS 분석보고서
DDoS 공격 방어 기법(1)
1. 임계치 기법(대용량 Flood 공격 방어)
▶ 대규모 트래픽으로 L3/L4/L7 인프라 공격 방어 적합
▶ 처리성능이 가장 중요함.(Short packet에서 패킷 손실이 없어야 방어 가능)
IP Profile 관리
Search
L3/L4
Header
Lookup
L7
Pattern
Match
32 bits addressing
(MAX 4,294,967,295)
Command
L7 Pattern
Outbound
정상/비정상 사용자
모두 관리됨.
Detect &
Defense
Zombie 1개당(SrcIP) 1개 패킷 탐지 손실로 인한 유입 시
약 150Mbps(20만 좀비기준)가 공격패킷이 유입됨.
3
Inbound
- 고속 메모리
(FPGA BRAM, SDRAM, SRAM)
- 고속 검색 알고리즘
DDoS 공격 방어 기법(2)
2. 상호 인증 기법(Spoofed IP 공격 방어)
▶ 정상사용자의 IP를 도용한 DDoS 공격에 효과
▶ 인증 처리 메커니즘과 고속 전송 기술이 중요
- Cookie를 전송한 사용자 관리
- Inbound된 모든 패킷의 세션 상태 체크
Session 관리
Manage & Search
SYN
Cookie &
Safe reset
Inbound
인증 전송
&
Pass/Drop
32 bits addressing
(MAX 4,294,967,295)
Command
모든 TCP 연결 사용자에 대해
질의를 해야 하므로 성능이 중요함.
Outbound
4
인가된 사용자에 대해서만 통과 시킴.
DDoS 공격 방어 기법(3)
3. 복합 기법(세션 소모 공격 방어)
- 오탐의 최소화를 위해 다양한 엔진이 동작해야 하므로 성능이 중요
- 공격자 세션에 대한 Reset 전송 기능(Server의 세션초기화를 위한 restart 불필요)
Session 관리
Search
공격자의 L3/L4
특징 검출
L3/L4
Header
Lookup
L7
Pattern
Match
32 bits addressing
(MAX 4,294,967,295)
EST 세션 상태 정보 +
Request에 대한 응답 패킷 검출
+ 복합 공격 인지
공격 세션에 대한
서버 Reset 전송
Command
L7 Pattern
Slowloris, Rudy, Slowread,
Pyloris, CC Attack 등의
패턴 특징
Inbound
- Header Lookup
- Pattern Match
- Stateful inspection
Detect &
Reset
5
공격자에 대한
Reset 전송
DDoS 공격 방어 기법(4)
4. DRDOS 방어(Spoofed IP로 대량의 공격 방어)
- 적은 양의 요청(UDP, ICMP 등)으로 많은 트래픽을 유발하는 공격
- TC가 수신 될 경우
상호 인증 기법으로 Open되지
Resolver 일 경우 IP로 차단
- RRL(Response Rate Limit)
6
- TCP 53 또는 UDP 53 임계치
기법으로 탐지
SPECTO D V3.0 관리자 화면(1)
1. 실시간 트래픽 모니터 & 트래픽 로그
트래픽 이상 감지 모니터
프로토콜 및 TCP Flag 별 실시간 트래픽
패킷량에 따른 위험
도 표현
일자 별 트래픽 량을 비교 분석
7
시간/일/월/년별 트래픽 추이 그래프
SPECTO D V3.0 관리자 화면(2)
2. 실시간 공격탐지 이벤트 모니터 & 공격 로그
실시간 좀비 카운트
금일 공격 현황 정보
Inbound 공격 비율
공격자 상세 정보
실시간
정책별 탐지 현황
및
정책 설정으로
대응
공격자 TOP 현황(TOP 기간 및 개수 설정 가능)
공격자 상세 정보 로그 기록
8
기간별 공격 현황 로그 기록