Rev03 - DDOS 공격 방어 솔루션(RIOREY 리오레이)

Download Report

Transcript Rev03 - DDOS 공격 방어 솔루션(RIOREY 리오레이) 

The DDoS Specialist RIOREY
The DDoS Specialist RIOREY
RIOREY MBA 소개
목차
The DDoS Specialist RioRey
1. 개요 및 특징
2. MBA 알고리즘 소개
3. MBA Flow Chart
4. MBA 알고리즘의 주요 탐지 모듈
5. 공격 유형 별 대응방법
6. 공격 종류 별 차단 알고리즘
http://ddos.tistory.com
[2]
1. 개요 및 특징
The DDoS Specialist RioRey
개요 및 특징
개요
RioRey 의 미국내 특허 인증 기술 M.B.A (Micro-Behavioral Analysis) 알고리즘은
DDoS공격의 탐지와 방어에 대해 기존의 방식과는 다른 접근 방법을 채택한 알고리즘으로 DDoS
차단 소프트웨어 모듈의 집합체를 의미
특징
• 모든 Traffic에 대해서 장비로 들어오는 단 방향 Packet만으로 탐지 및 차단
• RIOREY의 동작형식상 공격자들이 어떤 방식으로 방어를 하는지 알지 못하게 함으로서 공격
향상을 어렵게 하는 효과
• RIOREY 알고리즘은 Signature들의 저장소가 필요하지 않음
http://ddos.tistory.com
[3]
2. MBA 알고리즘 소개
The DDoS Specialist RioRey
M.B.A 알고리즘
M.B.A 알고리즘 이란
• MBA 알고리즘은 Packet Level의 Micro 단위 행태를 분석하여 비정상 대량 통신 Traffic 공격의
유무를 가려내는 혁신적인 DDoS 차단 및 탐지 알고리즘입니다
M.B.A (Micro-Behavioral Analysis) 알고리즘 - 미국내 특허 인증 기술
문제해결방법
공격차단
분석형태
다수의 소프트웨어 모
듈의 상호 결합으로 공
격대응
다양한 네트워크 형
태의 분석을 통해 공
격 Packet을 차단
패킷레벨 형태로 분석
넷플로우 레벨 형태 X
RioRey Micro Behavior Analysis
오탐으로 인한 서비스
장애 유발 방지, 정상
Traffic 보장
http://ddos.tistory.com
Training이 필요 없
는 Real Time 대응
[4]
다양하고 복합적으로
발생되는 공격에 대한
대응
3. MBA Flow Chart
The DDoS Specialist RioRey
Packet Flow
Incoming Packet
Malformed packet checker
통과
IP syntax checker
White List Handler
TCP syntax checker
원천통과 IP여부 확인
HTTP syntax checker
통과
UDP syntax checker
Service Definition Function
List에 없을 경우 즉시 차단
차단
Randomness checker
통과
통 과
Packet Sorter
ICMP, UDP, TCP프로토콜 분류
통과
ICMP
UDP
http://ddos.tistory.com
ICMP syntax checker
Rate Monitor
통과
Black List
Handler
차단 IP여부 확인
차단
Non responsive server monitor
통과
Session Monitor
Packet is
forwarded to the
destination
machine
TCP
Back flow monitor
[5]
4. MBA 알고리즘의 주요 탐지 모듈
The DDoS Specialist RioRey
Malformed packet checker
 다양한 종류의 패킷 형태를 확인하여 해당 패킷의 잘못된 형태로 인한 공격을 사전에 차단함.
 Check 항목 : ARP, RARP, Multicast, Broadcast, VLAN, Double Encapsulated VLAN, Protocol (all
256 including TCP, UDP, ICMP, IPSec, BGP, …), Options (32), Fragment, Source, Destination, TOS
(all 256), Xmas packet, Null packet, Network Scan, Dark Address Scan, stealth scan, etc…
Ethernet
IP :
Protocol=6, TOS, Fragment, Options,
Packet/Source
TCP : Port=80, Flags,
Connection Rate,TCP Options
Pac
ket
정상적인
Packet 형태
http://ddos.tistory.com
[6]
4. MBA 알고리즘의 주요 탐지 모듈
The DDoS Specialist RioRey
Syntax Checker
 RIOREY는 IETF의 기준과 함께 완벽한 Syntax 응답에 대해서 점검 할 것입니다. 예를
들어 Http request를 보면, GET과 함께, IETF의 Http 1.0/1.1 Syntax outline을 따라
야 하며, 그때 어떤 잘못된 응답은 flag 값이 달려지고 제거 될 것입니다.
 부적당한 Syntax 문장을 보내는 실수를 가진 고객의 소프트웨어를 찾아내기 위하여
일반적인 사항들을 관찰하는 것이 중요하며 이러한 부분이 생길 경우 이 소프트웨어
로부터의 모든 Traffic은 차단되어질 것입니다. RioRey 는 다음 중 하나에 이러한 경
우 Client 의 문제점에 대해서 도움을 줄 것입니다.
 Client가 그들의 소프트웨어 문제점을 찾기 위해 도움을 요청할때.
 정상적이지 않은 예외 규정에 대한 조항을 만들 경우, 그에 대한 공격에 대한 방
어가 약해지지 않도록 도움을 요청할 경우
http://ddos.tistory.com
[7]
4. MBA 알고리즘의 주요 탐지 모듈
The DDoS Specialist RioRey
Randomness checker - 1
 모든 호스트 사이트들의 Packet 정보는 예상할 수 있는 IP 범위들의 Source입니다.
 IP범위들의 Source들은 Packet들의 분산에서 예상될 수 있는 것들입니다.
 하나의 IP에서 분산 된 것 들은 변경 될 수 있으며 그러한 것들은 감시 되어 질 것입니다.
 Random checker는 모든 Traffic에서 사용되고, TCP/SYN/SYN-ACK/ACK, UDP, ICMP 공격탐지에 포
함되어집니다.
Under Attack
http://ddos.tistory.com
[8]
4. MBA 알고리즘의 주요 탐지 모듈
The DDoS Specialist RioRey
Randomness checker - 2
 Hash code (Code - Secret)알고리즘 - 다수의 저장소(저장소 - Secret)에 유입되는 Packet들을 분류
하고 분석하기 위한 저장소내의 값입니다.
 유입되는 Packet들은 Source와 destination IP/Port information 정보들에 따라 저장소로 분산됩니다.
 정상Traffic 내에서, 작게 나누어진 Source IP흐름은 저장소들의 작은 치수에 일치 될 것입니다.
 랜덤화된 공격은, 정해진 저장소에서 정상 Traffic과 작은 치수와 함께 증가되어질 것이며 공격 Traffic
은 저장소 안에서 다시 분리될것입니다.
 이러한 저장소 감시는 랜덤화된 공격들을 정확하게 제거 가능토록 합니다.
x
x
x
x
Under Attack
Good Traffic
Random attack, 정해진 bucket 들의
Attack Traffic들은 증가 될 것이며 Attack
Traffic은 제거 되고 Bucket들은 버려질
것입니다.
Random DDOS Traffic
http://ddos.tistory.com
[9]
4. MBA 알고리즘의 주요 탐지 모듈
The DDoS Specialist RioRey
Rate Monitor
 TCP, UDP, ICMP DDOS 공격 동안의 마지막 방어선입니다.
 만일 공격자가 위조하지 않은 IP BOT들을 사용한다면, 정교한 공격은 실제 Session들을 Emulate 하
고, Rate checker는 Host에게 해를 입히는 요인을 제한하고 BOT network 안의 모든 공격적인 BOT
들을 제거하게 될 것입니다.
 Rate setting은 두 가지 제한을 가지고 있습니다.

Rate limit, 어떤 packet이든지 이 Rate의 제한 이상으로 보내진 Packet들은 이 Rate에 의해 제
한 되어질 것입니다. 예를 들어, 만일 Limit가 100 packets per minute로 Set되어진다면, 그때
1분에 만일 110 packet들이 들어온다면, 10 packet 들은 제거 되어 집니다. 이 Rate는 대략 30
초의 Timer period 위에서 계산되어집니다.

Max rate, 만일 Max rate 를 초과하는 어떤 Stream이 있다면, 이 Stream Source IP는 Block
될 것 입니다. 운영자에 의해 정해진 시간 동안의 범위 안에서 차단되어질 것입니다. 이 Tool은
유효하지 않은 IP를 제거(Black List)하고 이 Stream은 정해진 시간 동안에 Host에 더 이상 영
향을 미치지 않게 될 것입니다. 이 Max rate 는 안전하게 설정해야만 합니다.
 모든 Rates 들은 Per IP를 기준으로 계산되어 집니다.
http://ddos.tistory.com
[10]
4. MBA 알고리즘의 주요 탐지 모듈
The DDoS Specialist RioRey
Non responsive & session monitor
 TCP session 들은 8백 만개의
Sessions 동안 State Checker들
에 의해 Stateful하게 검사되어
질 것입니다.
 재전송이 일어나지 않는 것은 나
From Client
SYN
Retransmit
SYN
쁜 것으로 식별 되어 질것입니다.
 이러한 checker 들은 모든 기본
To Host
첫 번째 SYN 제거
재전송되는 경우에 SYN
packet이 적당한 Format
및 Timing 이면 허용
ACK
만약에 아닐 경우
Connection 종결, 다음
ACK를 예상.
적인 TCP session attack 들을
제거할 것입니다.
ACK
http://ddos.tistory.com
RX
[11]
모든 연속적인 ACK는
허용한 제한 시간
안에서 이루어 져야
한다.
5. 공격 유형 별 대응방법
The DDoS Specialist RioRey
Application Level 공격(CC & GET) 유형
 a) HTTP GET 공격들 :
하나의 예로 HTTP GET 공격은 Victim 사이트에 GET 요청을 계속 보냅니다. 하나의 단순한 HTTP 명령
문은 GET http://www.ddosvictims.com HTTP/1.1 입니다.
 b) 특화된 쿼리들을 사용하기 위해 특히 Microsoft Access를 목표로 한 Data Bases 공격들:
좀더 복잡한 데이터베이스 요청은
"http://www.ddosvictims.com/attackResult.asp?type=159374adf234&duration=124332155&Sub
mit=Go"처럼 보여집니다. 이 쿼리들은 데이터베이스를 읽고 시스템 Fail을 야기시키기 위해 설계 되어
집니다.
 공격 프로그램에 의해 Threads들의 한 범위로부터 다운로드들을 요청하는 정교한 "CC & Get" 공격들:
하나의 예로 CC & GET 공격은 참조리스트에 저장된 정보와 함께 사이트들을 겨냥할 것입니다. 그래서
BOT은 아래의 예처럼 공격의 한 범위로 RANDOM하게 생성할 것입니다
http://www.ddosvictims.com/2/news/casestudy/102000.stm through to
http://www.ddosvictims.com/2/news/casestudy/873292.stm
여기서 각각의 요청은 하나의 다른 참조 패이지 또는 Thread 번호를 갖습니다. (이 경우, 참조 Thread
는 102000 ~ 873292 사이일 것입니다.) 매시간 다른 페이지들을 요청함에 의해서, 이것은 탐지하기에
매우 어려운 공격으로 만듭니다.
http://ddos.tistory.com
[12]
5. 공격 유형 별 대응방법
The DDoS Specialist RioRey
Application Level 공격(CC & GET) 특징
 Application Layer Tools가 사용하는 DDOS 공격들은 DDOS공격 성공을 달성하기 위해 Victim 서버를
제압하는 것이 필요합니다. 요즘, 대부분의 Victim HTTP 서버들은 동시에 몇 천 개의 세션들을 처리할
수 있습니다.
 만약 DDOS 공격이 대략 2,000 BOTs로 시작될 때, 공격자는 이 BOTs에게 정상적인 사용자 보다 좀더
자주 요청이 발생하도록 설정해야만 합니다. 실제 네트워크 경험에 기초로 하여, 우리는 정상 세션 율인
10 ~ 20 회의 세션을 만들어내기 위해 프로그램 된 BOTs을 종종 확인합니다.
 게다가, 대부분의 공격 BOTs은 'random packet generation timers'이 설치 돼있으며 이 공격 툴의
Timer들은 'simple time methods'에 의해 BOTs을 식별하는 rate monitor들을 우회하기 위해 고안 되
어 있습니다.
a) BOT들은 복잡한 페이지들을 요청할 것입니다. (가능한 한 많은 Page 로딩으로 Victim의 부하가 증가
하도록 만들것입니다).
b) 로딩한 Victim은 BOT에 의해 매 번의 SYN 또는 connection을 한 결과 많은 ACK와 함께 응답할 것입
니다. 이것은 Victim 대역폭을 낭비하고, 자원을 낭비합니다.
c) Victim이 많은 ACK을 응답한 이후, 공격자는 또한 이 ACK들을 승인하는 중일 것입니다. 우리는 평균
SYN 과 ACK 율(1:10 과 1:50)을 관찰했습니다. 이것은 BOT에서 발생 되어진 매번 SYN을 의미합니다.
또한 Victim으로부터 좀더 많은 ACK들을 승인 받기 위한 BOT에서 발생 되어진 10 ~ 50 ACK들도 있
습니다.
d) Packet 교환의 50여 개의 양을 발생하는 매번 SYN 연결과 함께, Application Level DDOS 공격은 모든
이용 가능한 메모리와 네트워크 자원을 빠르게 소비할 수 있습니다.
http://ddos.tistory.com
[13]
5. 공격 유형 별 대응방법
The DDoS Specialist RioRey
Application Level 공격(CC & GET) 대응방법(리오레이)
 TCP Application 공격에 대한 MBA 알고리즘의 2가지 동작
1) 잠제적인 공격자들 : 어떤 정상 네트워크에서, 어느 특정 시간 동안 어떤 사용자로부터 Traffic의 갑작
스런 증가를 보는 것이 일반적입니다. RioRey는 이런 갑작스런 증가를 제한하기 위하여 간단한 rate
limite를 사용합니다 갑작스런 접속을 받는 서버를 돕기 위함 입니다.
2) 완벽한 공격자들: 만약 클라이언트가 RioRey의 rate 제한에도 불구하고 서버에게 크게 증가된 Traffic
을 계속 보낼 경우, RioRey의 Non responsive & session monitor는 이것들을 공격으로 판별하고,
차단합니다.
3) 리오레이가 공격자의 SYN Packet들을 차단합니다. 이것으로 인하여 완전한 TCP 세션은 성립되지 않
을 것이고 이것은 SYN 다음의 ACK Packet들이 또한 제거되어짐을 의미합니다. 그러므로 들어오는 대
역폭의 감소 & 서버의 부하 감소 같은 현상이 일어 날 수 있습니다.
리오레이가 SYN들을 차단할 경우 아래에 나오는 효과를 볼 수 있습니다.
a) 들어오는 공격 대역폭의 많은 차단
b) 서버 로딩의 많은 감소
c) 무익한 outbound 대역폭의 많은 감소
http://ddos.tistory.com
[14]
6. 공격 종류 별 차단 알고리즘
The DDoS Specialist RioRey
공격 유형별 적용 알고리즘
공격 종류
MBA 알고리즘 적용 Checker
Random forged IP
TCP/UDP/ICMP attacks
Randomness Check, Non responsive session monitor, Session Monitor,
Rate Monitor
TCP session attack
with sessions left open
TCP syntax and fragment checker, Randomness Checker, Non
responsive session monitor, Session Monitor, Rate Monitor
Continuous HTTP GET
attack / CC
TCP syntax and fragment checker, Http syntax checker, Randomness
Checker, Non responsive session monitor, Session Monitor, Rate
Monitor
TCP fragmented attack
TCP syntax and fragment checker, Randomness Checker, Non
responsive session monitor, Session Monitor, Rate Monitor
TCP ACK with or
without data
TCP syntax and fragment checker, Randomness Checker, Non
responsive session monitor, Session Monitor, Rate Monitor
TCP FIN and other
flags based attack
TCP syntax and fragment checker, Randomness Checker, Non
responsive session monitor, Session Monitor, Rate Monitor
http://ddos.tistory.com
[15]
6. 공격 종류 별 차단 알고리즘
The DDoS Specialist RioRey
공격 유형별 적용 알고리즘
공격 종류
MBA 알고리즘 적용 Checker
Redirected traffic such
as file sharing traffic at
port 80
TCP syntax and fragment checker, Http syntax checker, Randomness
Checker, Non responsive session monitor, Session Monitor, Backflow
monitor, Rate Monitor
UDP flood with a few
big server
UDP syntax and fragment checker, Randomness checker, Rate Monitor
UDP flood with many
forged IP addresses
UDP syntax and fragment checker, Randomness checker, Rate Monitor
Fragmented UDP flood
UDP syntax and fragment checker, Randomness checker, Rate Monitor
ICMP floods
UDP syntax and fragment checker, Randomness checker, Rate Monitor
ICMP floods
ICMP syntax and fragment checker, Randomness checker, Rate
Monitor
http://ddos.tistory.com
[16]
The DDoS Specialist RioRey
감사합니다.
http://ddos.tistory.com
[17]