리오레이(RIOREY)_DDOS방어_제안자료
Download
Report
Transcript 리오레이(RIOREY)_DDOS방어_제안자료
RIOREY DDOS 공격 방어 솔루션
The DDOS Specialist
•
•
•
•
작성일 : 2008/05/15
담당 : 신 상 윤
TEL :010-4842-9153
Mail: [email protected]
DDOS
요즘 10G 이상 공격이 보통이라던데
구입하고 싶은데 너무 비쌉니다
정상트래픽 은 서비스가 가능 한가요?
는 가능 합니다
http://ddos.tistory.com 02-553-5929 [email protected]
2
RIOREY DDOS 방어시스템 주요 특징
가격대비 최고의 성능
Good Traffic Bypass
Packet 단위 마이크로 행태 분석(네트워크 트래픽 분석 안함)
RioRey의 알고리즘은 모든 공격들을 정확히 인증
Hardware Bypass 기능을 포함
Max Performance 16G ~ 32G 로 높은 성능을 제공
rView Management로 NETWORK 트래픽 & DDoS Attacks에 대한
상세 통계 기록 제공
네트웍 안정성을 위한 전모델 탭 구성이 가능
http://ddos.tistory.com 02-553-5929 [email protected]
3
AGENDA
1. DDOS 현황
2. RIOREY DDOS 솔루션
3. RIOREY M.B.A 알고리즘
4. RIOREY 특징
5. RIOREY rView & rCare
http://ddos.tistory.com 02-553-5929 [email protected]
4
1. DDOS 현황
• Dos, DDOS 차이점
• DDOS 공격 형태
• DDOS 특징
• 기존 보안장비의 한계점
• DDOS 시스템 요구사항
http://ddos.tistory.com 02-553-5929 [email protected]
5
DOS, DDOS 차이점
DoS
http://ddos.tistory.com 02-553-5929 [email protected]
DDoS
6
DDOS 공격 형태
●대역폭 공격(Bandwidth Attacks):
-정상적으로 보이는 엄청난 양의 TCP, UDP, ICMP
Packet 들을 특정한 목적지로 전송
Ex) Packet Over Floorer Attack
●애플리케이션 공격(Application Attacks):
특정한 반응이 일어나는 요청 Packet 을 발송하여
해당 시스템의 연산처리 리소스를 소진
Ex)HTTP half-open attack, HTTP Session attack
http://ddos.tistory.com 02-553-5929 [email protected]
7
DDOS 공격특징
① 루트 권한을 획득하는 공격이 아니다.
② 데이터를 파괴, 변조하거나, 훔쳐가는 것을 목적으로 하는 공격이 아니다.
③ 공격의 원인이나 공격자를 추적하기 힘들다.
④ 공격 시 차단하기 어렵다.
⑤ 매우 다양한 공격 방법들이 가능하다.
⑥ 다른 공격을 위한 사전 공격으로 이용될 수 있다.
⑦ 사용자의 실수로 발생할 수도 있다.
http://ddos.tistory.com 02-553-5929 [email protected]
8
기존 보안장비의 한계점
●블랙홀링(BlackHoling):
●침입 탐지, 방지 시스템(IDS, IPS):
- Traffic 을 일종의 폐기장소로 보내서 소멸시키는 방법
- 전문가의 세밀한 설정이 필요
- 정상적인 Packet 들도 소멸된다.
- 빈번한 오탐 문제
- 패턴 매칭 방식의 검사
●라우터(Router) 필터링 기법:
- ACL(Access Control List)을 이용한 필터링 기능
●매뉴얼 반응(Manual response):
- 서비스 Protocol 필터링 불가
- 관리자가 직접 수작업을 통해 방어
- IP Spoofing 공격에 대한 한계
- 즉각적인 대응이 어렵다
- Application Layer 공격에 대한 한계
- 변조된 Packet 에 대한 검증 불가
●방화벽(Firewall):
- 대용량 Traffic 처리의 한계로 인한 방화벽 자체 Down
- Web, DNS 등 일반적 서비스 Protocol 에 대한 방어
불가
- Spoofing Packet 공격에 대한 취약점
http://ddos.tistory.com 02-553-5929 [email protected]
9
DDOS 시스템 요구 사항
정상
Traffic 보장
자동화
다양성
DDoS 장비의 오탐으로 서비스 장애 유발 가능성
☞ Attack Packet 차단, 정상 Traffic 보장
시스템, 네트워크, 보호대상 변경 시 자동화된 대응
Base Line 설정 없이 실시간 자동 대응
Source IP Spoofing 에 대한 대응
다양하고 복합적으로 발생되는 공격에 대한 대응
보안장비 운영으로 망의 Packet Latency를 고려.
안정성
성능 지연 제거
보안장비의 장애로 인한 망 장애 요소 제거 이중화, bypass 내장
http://ddos.tistory.com 02-553-5929 [email protected]
10
2. RIOREY DDOS 솔루션
• RIOREY Over view
• The DDOS Challenge
• RIOREY benefit
• High Availability By Design
http://ddos.tistory.com 02-553-5929 [email protected]
11
RIOREY Over view
특허 출원 기술인 RIOREY 의 DDOS 전용 Platform!!!!
분산 서비스 거부공격(DDOS)으로부터의 피해 차단
공격 발생시에도 고객의 네트워크는 서비스 손실 없이 안전한 운영
http://ddos.tistory.com 02-553-5929 [email protected]
12
The DDOS Challenge
DDOS
Traffic
RioRey Filter
RioRey Filter
Intrusion
Traffic
Normal
Traffic
Normal Under Attack
Normal
Under Attack
Incoming Bandwidth
Incoming Bandwidth
Incoming IP Address Space
•
DDOS는 일반적으로 대규모 대역폭
공격을 보고 인식 합니다.
•
공격이 진행되는 동안 대량의 Botnet
Source IP 공간으로 채워 집니다.
http://ddos.tistory.com 02-553-5929 [email protected]
Incoming IP Address Space
RIOREY 는
DDoS의 주요 발생지에 Focus를 맞추어,
공격의 모든 대역폭 및 IP 주소를 filter합니다
-
-
시스템 내에서 일반적인 처리 가능한 규모로 공격
을 대폭 줄여줌
정상 Traffic은 보존하면서 대규모 공격 traffic 집
중 처리
13
RIOREY Benefit
DDoS 방어를 위한 걸림돌은 또 있다.
신속한 대응
신속한 공격 탐지 및 차단
ISP와 IDC가 도입하기에는 결코 만만
치 않은 보안장비 가격이 바로 그것이
다. 현재 시장에서 1, 2위를 차지하고
있는 DDoS 전용 장비는 7천 만원을 호
가 한다. 또 일부 제품은 네트워크 변경
및 관리가 쉽지 않다는 단점이 있다.
소규모 ISP가 감당하기에는 부담스럽
다는 지적이다.
(08.03.25 Inews.com 기사 일부)
http://ddos.tistory.com 02-553-5929 [email protected]
관리의 편리성
자동화된 Process – 운영에
대한 Training 과정 필요 없음
세부적 대응
공격 Traffic 만 차단
정상적인 Traffic 은 보호
가격대비성능
높은 성능과 저렴한 도입 비용을 통한
빠른 ROI 실현
빠른 구축시간
30분 이내 모든 구축 작업 완료
14
High Availability By Design
• 전면 설치, RioRey RX 제품은 고 가용성 시스템으로 설계되었다.
(>> 99.995%)
• Fiber 또는 Copper 연결에 유연한 통합 케이블 관리
• Multiple watch dogs 을 통한 hardware ,software 고 가용성 점검
‣ 시스템 Failure 발생시 자동 restart
‣ Software failures 발생시 Factory Reset 을 통한 Default setup
Recover 능력
(Bypass 동작 Network Traffic 끊기지 않음)
• 모든 장비의 하드웨어 Bypass 제공을 통한 System failure 시에도
안정적인 네트워크 연결
• DDOS 전용 H/W, S/W 일체형 설계
• 전원, Power Supplies 이중화 및 hot swappable 기능
http://ddos.tistory.com 02-553-5929 [email protected]
15
(Micro-Behavioral Analysis)
3. RIOREY M.B.A 알고리즘
• Detect Engine
• Protocol Conformance Engine
• Scan Identification Engine
• Application Conformance Engine
http://ddos.tistory.com 02-553-5929 [email protected]
16
RIOREY Detect Engine
•
Syntax 검사- HTTP요청의 잘못된
syntax 검사
Scan
Identi
엔진
Protocol
Conform
엔진
Dynamic
Filtering
엔진
Applicati
on
Conform
엔진
•
Timing relationship –
•
Responsiveness - 정상적인
ICMP, UDP
공격탐지,Packet 의 조밀도 및 분산 여부를
모니터링
handshake 응답 과정을 모니터링, 결과값을
이용 IP Spoofing 공격을 판단 하는데 가중치
로 사용.
•
Address & Data
randomness –정상 Data 와 유해 Data
의 철저한 연구 ,spoofed 공격을 확인하는 데에
매우 효과적.
•
http://ddos.tistory.com 02-553-5929 [email protected]
Victim 응답 pattern –
Victim’s 의
응답 패턴을 관찰, 만일 응답 패턴이 유효 하면
계산된 결과를 Good Packet Traffic 정보에
적용.
17
17
…
Protocol Conformance Engine
•
TCP traffic에 사용
•
전용 engine이 TCP handshakes를
모니터 하고 탐지
•
TCP streams의 변형된 자료 Sampling
•
Sample engines - victim IP로 가는
모든 Traffic에 대해 집중적인 검사
•
정상 traffic통과, 공격 packet 차단
Protocol
Conform
Engine
Traffic
TCP
Port
UDP
Size
ICMP
Type
IP
Address
http://ddos.tistory.com 02-553-5929 [email protected]
18
…
Scan Identification Engine
Scan
Traffic
•
Scan Identification 엔진은 random 한 IP 와
Port Scanner 를 탐지 하는데 사용됩니다.
•
Scanner 엔진은 광범위하게 들어오는 IP
address scan 이나 Port Address scan 에
빠르게 공격을 정의 합니다.
•
scanner는 어떤 일이 발생하면 이를
System에 경보하고, 잠재하는 victim
address와 ports에 ‘특별한 주의’ 적용합니다.
Identifi
Engine
http://ddos.tistory.com 02-553-5929 [email protected]
19
Application Conformance Engine
•
다수의 Application 을 해석한 algorithms을
…
포함하고 있습니다.
•
이 알고리즘은 REOREY가 Application
행태를 분석하고 계획된 Application 대로
움직이지는 지를 추적합니다.
•
Riorey 의 Application Lab 은 다양한
Application을 이해하고 Model 화 될 수
있도록 지속적으로 Test 하고 분석 합니다.
•
Riorey 는 Application Level 에서 Good
Traffic 을 보장하기 위해 많은 Test를
지속적으로 수행 하고 있습니다.
•
Test 한 결과를 통해 다양한 Application 의
정상 연결 Session 과 불량 Session 을
식별하는데 중요한 자료로 사용 됩니다.
App
Traffic
Conform
Engine
http://ddos.tistory.com 02-553-5929 [email protected]
20
4. RIOREY 특징
• 정상 Traffics 보장
• 자동 실행
• 신속한 대응 시간
• 다양한 Product Series
http://ddos.tistory.com 02-553-5929 [email protected]
21
RIOREY 정상 Traffic 보장
• RIOREY DDOS 솔루션이 네트워크 상에서
여러 주요 공격들(개별 초당 200,000 이상의 packets)을 을 성공적으로 방어하면서
동시에 99.9946% 의 정상 traffic을 제공합니다.
이는 모두 자동으로 진행 되었습니다.
• 보안장비가 good traffic을 drop시킬 경우, 고객의 안전한 정보 보호를 위한
보안솔루션 구축 의미가 없어지기에 Good traffic 보호는 매우 중요합니다.
Attack
Traffic
Filtering
Traffic
http://ddos.tistory.com 02-553-5929 [email protected]
22
RIOREY 자동실행
DDOS 는 복합적인 문제이며, 방어를 위해 많은 노동을 필요로 합니다.
대부분의 DDOS 방어는 몇 가지 단계의 수작업을 통한 제어를 필요로 합니다.
타 솔루션의 경우
• 다른 DDOS 알고리즘에서 "training“이나 "base lining"을 위해
사용자는 가능한 공격 Packet의 list를 제공받아야 하며,
이것이 공격이든 아니든, 사용자는 솔루션은 연산하고 처리할 것임을 의미 합니다.
이는 유해 traffic에서 정상 traffic을 분별해내지 못하도록 하며,
이 Process는 user server나 애플리케이션에 추가/이동/변경이 있을 때 마다
지속적으로 사용자 입력을 필요로 합니다.
With RIOREY
• 모든 대응이 자동으로 진행 됩니다.
http://ddos.tistory.com 02-553-5929 [email protected]
23
RIOREY 신속한 대응 시간
모든 DDOS filtering 제품은 신속한 대응 시간을 필요로 합니다.
타 솔루션
• 대부분의 제품들을 보면, 사용자가 제품에 대해 training 과정을 거친 후,
어느 정도 공격 탐지가 가능하였으며, 이는 신속하다고 할 수 없습니다.
With RIOREY
• 솔루션 실행에 대한 어떤 트레이닝 및 수작업을 필요하지 않습니다.
• 실제 상황에서 RIOREY DDOS 솔루션의 가장 큰 장점은 어떠한 서비스 및 네트워크
환경에서도
90초 이내 반응하고 대응한다는 것입니다.
• RIOREY 는 최소 100,000 개 이상의 동시 공격 및 모든 종류의 혼합된 공격,
그리고 최소 100개의 동시 Victim에 대해서 이와 같은 수준의 보안을 제공 합니다.
RioRey Product Comparison Presentation
http://ddos.tistory.com 02-553-5929 [email protected]
24
RIOREY 다양한 Product Series
RE500
Series
RX1200B
Series
RX2300U
Series
RX2300B
Series
RX3300U
Series
탐지
Interface
1EA
2EA
1EA
2EA
1EA
Media
Type
Copper
SX/LC, LX/LC
Copper
SX/LC, LX/LC
Copper
SX/LC, LX/LC
Copper
SX/LC, LX/LC
Copper
SX/LC, LX/LC
내장 Bypass
YES
YES
YES
YES
YES
Throughput
400M
1G
2G
2G
3G
MAX
Performances
16G
DDOS
Filtering
32G
ICMP, UDP, TCP-SYN, TCP-SYN-ACK,TCP-ACK, TCP-Session, HTTP, P2P,
DOS, SYN Flooding, ACK+ Large Data (5월 Version UP 추가)
Random/forged IP Address Attacks, network scans & port scans
암호화된 Traffic 처리
복합공격처리 : Smurf, Ping Floods, Fraggle, Evasive UDP, UDP scans
Pulsing zombie, Tribe Flood network(TFN), TFN2K, Stacheldraht, 외
Simultaneous
Connections
Typical
Latency
http://ddos.tistory.com 02-553-5929 [email protected]
Unlimited
<70 Microsecond
25
5. RIOREY rView & rCare
• rVIEW
• rCARE
• 주요 References
http://ddos.tistory.com 02-553-5929 [email protected]
26
RVIEW – RIOREY Management & Monitoring tool
• The real time Graphical User Interface
공격 traffic 모니터, 알람 통보, traffic 요약, victim 과 attack list를 제공합니다.
http://ddos.tistory.com 02-553-5929 [email protected]
27
27
RVIEW – Attack History
전체 Traffic
공격 현황
Protocol 별
공격 내용
Attack Level
표기
위험 수위
표기
• Attack 현황
Attack 관련 세부적인 내용을 보여 줍니다.
http://ddos.tistory.com 02-553-5929 [email protected]
28
28
RVIEW – Operation Mode
•
-
운영 Mode
Filter : 탐지된 공격을 차단
Monitor : 공격 탐지, 차단 하지 않음
S/W Bypass : 탐지 및 차단 하지 않음
http://ddos.tistory.com 02-553-5929 [email protected]
29
29
rCARE – RIOREY DDOS Analysis Tool
• rCare
공격에 대한 세부 정보를
제공하는 web tool
•
•
•
공격 통계치 분석
공격 근원지 시각화
기록된 data와 공격
비교
• rCare는 장시간에 걸쳐
DDOS공격이 어떻게
전개되는지 보여주며
고객이 미래 공격에
대비하여 네트워크를
보다 잘 준비할 수 있도록
정보를 제공합니다.
http://ddos.tistory.com 02-553-5929 [email protected]
30
RIOREY 주요 References
SES Americom
Satyam
Mahindra SSG
Steadfast networks
Creditz
Dolphin networks
Satellite Provider
미국 내 가장 큰 위성 공급자 (One of the largest Satellite Providers in the US)
IT Services / Consulting
대규모의 IT services / Consulting 다국적 기업.
Security Services Group
대규모 다국적 기업.
Web Hosting / Collocation / Server Hosting, Chicago
전세계 가장 안전한 digital 유통/거래를 위해 RioRey 구축
Digital Currency Transaction Processing , Canada
전세계 가장 안전한 digital 유통
거래를 위해 RioRey 구축
ISP , Tennessee :응급 911 서비스를 가동하는 Internet service 공급자
고객에게 Premium service에 대한 추가요금을 부과하고 새로운 수입의 흐름
생성시키기 위해 RioRey 구축
http://ddos.tistory.com 02-553-5929 [email protected]
31
피해 사례
박현정 기자 [email protected] 기사등록 : 2008-03-31 오후 07:24:17
http://ddos.tistory.com 02-553-5929 [email protected]
32
피해 사례
최현철 기자 [[email protected]] 2008.03.22 01:44 입력
http://ddos.tistory.com 02-553-5929 [email protected]
33
회사소개
콤우 는 좋은 솔루션(서비스) 을 가진 회사와 이를 필요로 하는 (잘 사용하여 도움이 될 수 있는)
회사와의 가교 역할 을 하는 마케팅 전문가 회사 입니다.
파트너사 :
• 네이트 / 다음 / 야후 / 엠파스 / 현대정보기술 / 베니트
• 탭스랩 / 닥터소프트 / 바이펄스네트웍스 / 삼부시스템 / 가디움 / ORION / 텔로드
회사명 : ㈜콤우시스템 (
)
•주소 : 서울시 구로구 오류동 46-1 A302
•이사 : 신상윤 Mobile : 010-4842-9153
•Tel : 02-553-5929
•Mail : [email protected]
•http://www.adminmate.co.kr / http://www.guardium.co.kr /
http://www.adminmate.com / http://ddos.tistory.com
주요 취급 제품
•Adminmate2.0 총판
•포토서버X,포토익스플로러
•넷클리닉, 넷클라이언트, 인사이터
•로그로직, ORION CEP 총판
•마에스트로, 오로라
•가디움 SQL가드 (DB접근제어)
•리오레이 (Riorey)
http://ddos.tistory.com 02-553-5929 [email protected]
34
T h a n k
Y o u