현재 위치

›› Forums ›› 이슈 ›› 토론, 토의

DDOS 공격에서

kirina70의 이미지
글쓴이: kirina70 / 작성시간: 일, 2008/03/30 - 12:19오전

얼마 전 이슈가 되었던 지금도 당하고 있지만 K은행의 인터넷 뱅킹의

공격은 ISP업체에서 그쪽으로 가는 패킷을 차단해 버린다고 하네요....

트리노공격은 대상 업체가 당한 것이지만

지금은 ISP업체가 그쪽으로의 DDOS공격으로 부터 보호(?) 하기 위해서

그쪽으로 가는 패킷을 다 끊어 버린다고 하네요...

궁극적으로 같은 효과를 보내기는 하지만

그러면 이것에 대한 궁극적 방어법은 어떤 것이 있을까요?

물론 마스터 컴퓨터를 찾아서 죽여야 겠지만

현실적으로 마스터를 찾는 것도 쉽지않고

해커가 이곳 저곳을 공격한다면 사실상 찾는 거 자체가 쉽지 않다고 생각합니다.

차라리 라우터별로 패킷을 할당하면 어떨까요?

패킷을 넘 많이 나가거나 받는 라우터는 현재의 라우팅하는 것을 지연시키고

라우터는 비정상적인 컴퓨터를 찾아서 그 컴퓨터의 IP를 (DHCP라면) 회수하는 것입니다.

고정아이피라면 그 아이피만 막으면 되겠죠...

라우터의 부하는 걸리겠지만 전체적 라우터의 안전성을 위해서는 이게 좋지 않을까요?

트리노가 공격을 시작했던 언 5년도 넘어갔는데

그 자체를 알고서도 아무 대책이 없는 라우터 업체들이나 마땅한 솔루션을

개발하는 업체들 둘 다에게 책임이 있다고 생각합니다.

물론, 궁극적인 책임은 그걸 악용하는 사람이겠지만요...

앞으로 우리나라에서는 티비에도 아이피가 걸릴텐데....

무한도전을 보기 위해 티비앞으로 왔다가 테레비를 때리는 사람들이

증가하지 않을까요???

인터넷에 너무 의존하고 인터넷을 너무 맹신하는 우리나라 사람들에게도 문제가 있다고 생각할 수 있습니다.

Forums: 
토론, 토의
imyejin의 이미지

글쓴이: imyejin / 작성시간: 일, 2008/03/30 - 2:16오전

그게 정상적인 파일을 다운받는 건지 아닌지 라우터가 어떻게 압니까?
IP 터널링이다 IP SEC이다 이런 걸 쓰게 되면 중간에 있는 라우터는 그런 것을 전혀 알 수가 없습니다.
무엇이 정상적인 정보 전송인지 무엇이 공격인지를 찾아내는 것 자체가 그리 간단한 일이 아닙니다.
단지 패킷을 많이 보낸다는 것으로 차단하면 큰 파일 전송하는 사람은 중간에 다 뚝 뚝 끊기게요.

물론 이에 대한 연구나 솔루션이 아예 없는 것은 아닙니다. 터널링이나 암호화 채널 등을 사용하지 않은 그냥 패킷의 경우에는 패킷 내용을 분석해서 차단하는 솔루션은 이미 있는 것으로 걸로 압니다. 오픈 소스로 된 엔진도 있을 겁니다. 또, 패킷 내용은 보지 않고 패킷이 들어오고 나오는 발신지와 수신지를 보고 그 패턴이 특이할 경우 요주의 관리 대상 리스트에 올린다든지 하는 방법도 시도하고 있는 것으로 압니다.

임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

[예진아씨 피카사 웹앨범] 임예진 팬클럽 ♡예진아씨♡ http://cafe.daum.net/imyejin

amakusa의 이미지

글쓴이: amakusa / 작성시간: 화, 2008/04/01 - 9:08오후

본업은 아니지만..... 옆자리가 보안담당 직원이라 슬쩍 옆에서 보면 현 시점에서 공격대상 ip 를 널라우팅 하는 것 말고는

다른 조치가 없는듯 합니다.

사실 이것도 근본적인 해결이 안되는 게.... 우리측 라우터에서 널라우팅을 시켜도 다른 isp 에서 저희쪽으로 오는 백본은

공격성 트래픽으로 회선이 full이 되어서 말이죠...

결국 우리측에서 막아도 정상적인 웹서비스는 계속해서 먹통되는 그런 사태가...쩝쩝

관련된 솔루션을 2개 업체 제품을 사용하곤 있지만.... 탐지만 가능할 뿐이지 능동적인 대처를 할 수 없더군요.

솔루션 차원에서 임의로 널라우팅을 할 수도 없고.... 소스ip 는 스푸핑된 ip 라 막아도 소용이 없고.....

다른곳은 어떻게 처리하고 있는지 궁금하군요.

iChat: symmetrix@mac.com

송효진의 이미지

글쓴이: 송효진 / 작성시간: 화, 2008/04/01 - 9:41오후

조만간 TCP/IP 규약이 확장될지도 모르겠네요.
자신에게 오는 패킷에 한해 라우터 거꾸로 따라 올라가며 ip drop 명령 내리기

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~

https://xenosi.de/

monovision의 이미지

글쓴이: monovision / 작성시간: 수, 2008/04/02 - 2:19오후

솔루션이 없는 것은 아닙니다.

syn flooding 에 대해서는 이미 100% 완벽하게 막는 녀석이 한 놈 나와있습니다.
바로 Cisco Guard 죠.
하지만, 이마저도 대역폭이 충분하지 않으면 막을 수가 없다는 단점이 있죠.
이전에 일어났던 아이템베이의 경우에는 공격 트래픽이 20G 가 넘었다고 하더군요. 아이템베이가 있던 중소 IDC 전체가 다운되어 버릴만큼이었으니.. ㅡ.ㅡ;;
Cisco Guard 외에도 DDoS 공격 탐지 및 차단 장비를 개발하여 파는 업체가 많기는 하나 근본적으로 Cisco Guard 만큼 완벽하지가 않습니다.
Cisco Guard 는 Guard 자체가 대신 커넥션을 이루어주는 방식인 반면에, 타 업체들은 전부 패턴기반이거든요.
대신 Cisco Guard 는 그 가격을 무시하지 못할 만큼 비쌉니다. 대략 1Gbps 당 1억 정도 잡아야 하거든요. 그 외에 백본 스위치 및 부가적인 장비들도 더 들어가야 하고... ㅡ.ㅡ;;;

그리고, udp 의 경우에는 대역폭만 충분하다면 별 신경을 안 써도 되지만 tcp 에 비해 네트워크를 소모시키기가 훨씬 쉬워서 대역폭 전체를 차지해 버립니다.
DDoS 방어를 제공하는 업체들의 기본 서비스 구성을 보시면 아시겠지만, 기본 정책은 icmp, udp 드랍이 대부분입니다.

방어 자체를 못한다기 보다는 단가가 너무 쎄다는게 문제이겠죠.
대개 소량의 공격은 1-2Gbps 정도고 많이 쎄게 올때는 20Gbps 가 넘게 들어올때도 많습니다.
저것을 막을려면 대략 30Gbps 대역폭에 10G 정도의 Cisco Guard 가 필요한데... 이것만 해도 얼추 15억(Cisco Guard) + 월 3억(30Gbps) 입니다.
저렇게 서비스 한다고 해도 수지타산을 맞추기 위해 여러 서버를 넣다보면 공격이 점점 쎄지면서 트래픽과 장비의 증가가 또 필요하게 되는 악순환이 반복되는거죠.

위처럼 장비로 때려박는거 말고 무식하게 네트워크 대역폭을 엄청 늘려서 공격을 받을때마다 DNS 를 변경해가며 서비스하는 업체들도 꽤 있습니다.

둘러보기