2007 년 국내 유명 게임업체 연합세계는 조직적인 대규모 분산 서비스 거부 (DDoS) 공격을 받아 경제적 손실이 컸다. 2009 년 5 월 19 일,' 스톰 비디오' 서버가 DDoS 공격을 받아 여러 성의 대규모 네트워크 장애 사건이 발생했다. 지난 7 월 미국과 한국 정부의 많은 비즈니스 사이트와 군사 사이트가 DDoS 공격을 자주 받아 거의 30 개 사이트 방문이 지연되거나 붕괴된 것으로 나타났다.
< P > 이러한 사례는 최근 몇 년 동안 대규모 DDoS 공격이 상승세를 보이고 있으며 그 영향도 갈수록 악화되고 있음을 보여준다. 2008 년 중국 DDoS 공격의 최고 트래픽은 40Gps 에 이르렀는데, 이는 성급 사업자 40 의 대역폭으로 고객 방문 실패, 서비스 품질 손상, 인터넷 서비스 업체가 신용에서 돈에 이르기까지 큰 손실을 입었다. 그렇다면 이 난제를 완전히 해결할 수 있는 기술 방안이 있습니까?2009 년 7 월 어느 날 오후' 그린피시방' 입구에서 많은 게이머들이 욕설을 퍼붓고 피시방에서 나오자, 망관은 문 앞에' 영업 중지' 라는 간판을 내걸었다. "또 그러네요. 놀다가 갑자기 연결이 끊겼어요. 서버에 다시 로그인하는 건 전혀 반응이 없어요. 한 달 안에 이런 상황이 이미 세 번째로 발생했으니, 해결할 수 없으면 하지 말고 문을 닫아라. " 방금 피시방에서 나온 한 남자가 입에서 수다를 떨고 있는데, 그는 손에 든 담배를 바닥에 내던지고 두 발을 세게 밟았다.
"어쩔 수 없어, 우리는 이미 방화벽을 설치했고, 전문 인터넷 유지 관리도 했다. 우리는 가능한 한 많이 했고, 해커의 공격은 막을 수 없었다. 우리는 이런 공격에 대해 정말 속수무책이다." 인터넷 카페 주인은 매우 무력해 보인다.
사실' 녹색 PC 방' 은 DDoS 공격을 받아 인터넷 속도가 매우 느려져 플레이어가 전혀 인터넷에 접속할 수 없게 됐다. 결국 누가 이 공격을 조직했는지 알아내지는 못했지만, 피시방 주인은 멀지 않은 다른 피시방에서 취한 악성 경쟁 수단이라고 의심했다.
' 저투고수익' 의' 홍수식 공격'
최근 몇 년 동안 인터넷의 급속한 발전에 따라 인터넷 이용객이 늘어나면서 DDoS 공격이 다시 대규모 폭발 추세를 보이고 있는 것 같다. Dongson Network Security Product Marketing Center 의 제품 관리자인 Yao Weidong 은 2006 년 국내 DDoS 공격의 최대 트래픽이 2.5Gps 에 불과했고 2007 년에는 24Gps, 2008 년에는 40Gps 에 달했으며 매년 2 배 이상 증가했습니다. "국내의 한 성급 통신사업자의 수출 대역폭은 100Gps 이고 DDoS 공격 트래픽은 전체 트래픽의 40 을 차지하는데, 이는 상당히 놀랍다." 그는 말했다. 2009 년 8 월 트위터, 페이스북, 유튜브 계정도 서비스 차단 공격을 받았다. 현재 수백만 개의 엔터프라이즈 애플리케이션이 DDoS 공격의 위협에 직면하고 있다는 보고가 있다.
그렇다면 DDoS 공격을 시작한 사람의 목적은 무엇입니까? 그들은 어떻게 시동을 걸었습니까? 정말 어떤 사람들이 말했듯이, DDoS 공격은 인터넷의 고질이라서 방어하기가 어렵습니까? 이러한 문제를 파악하기 위해 기자는 업계에서 유명한 정보 보안 업체 몇 곳을 방문했다.
"DDoS 공격을 시작했습니다. 대부분 악성 경쟁을 위한 것입니다. 예를 들어, PC 방은 고객 자원을 놓고 경쟁하기 위해 악의적인 공격 방법을 취하여 피시방 네트워크가 마비되어 제대로 작동하지 못하고 피시방 운영자에게 직접적인 경제적 손실을 초래하기도 한다. " 베이징 신주 녹색연맹 기술유한공사 제품시장지배인 최운붕이 기자에게 알렸다. "처음에는 해커가 어떤 기업에 공격을 가한 다음 공갈을 했다. (윌리엄 셰익스피어, 해커, 해커, 해커, 해커, 해커, 해커) 나중에 일부 기업이 돈을 써서 이 해커들을 고용하여 다른 경쟁자를 공격하거나, 영업기밀을 훔치거나, 상대방의 네트워크를 마비시켜 제대로 작동하지 못하게 했다.
기자들은 해커들이 DDoS 공격을 개시할 때 많은' 육계' 를 찾아 좀비 네트워크를 구성해 좀비 네트워크를 조작함으로써 모든' 육계' 따라서 서비스 거부 공격은' 홍수식 공격' 이라고도 불린다.
< 위동 (Yao Weidong) 은 상업적 악의적 경쟁으로 DDoS 공격의 급속한 발전을 촉발시킨 것 외에도 공격 비용이 점점 낮아지고 수익이 높아지고 있다고 주장했다. 각' 육계' 가 1Mps 유량 계산에 기여하면 1000 대의' 육계' 가 1Gps 에 이를 수 있다. 1 회 유량 1Gps, 시간 1 시간의 공격이 현재 권내에서 받아들일 수 있는 최저라인 내가는 2,000 원에서 3,000 원밖에 안 된다. 실제 공격 비용은 이 시가보다 훨씬 낮고, 일부 고급 공격 비용만 상대적으로 높다.
"예를 들어 인터넷에서' 육계' 를 사면 0.8 위안, 1 만 대의' 육계' 로 구성된 좀비 네트워크는 8000 원, DDoS 공격 트래픽은 10Gps 에 이를 수 있다 웨이동 소개가 말했다. 현재 일부 해커들은 허점을 이용해 대형 유명 게임망을 해킹해 데이터베이스, 도적계좌 등급, 소품을 한 번에 수백만 원을 벌 수 있는 것으로 알려졌다.
방어 추적 어려움
DDoS 공격은 쉽게 시작되지만 예방은 매우 어렵습니다. DDOS 공격이 인터넷' 종양' 이라고 불리는 중요한 이유이기도 합니다.
지금까지 DDoS 공격에 대한 방어는 매우 어려웠다. "가장 중요한 이유는 TCP/IP 프로토콜을 이용하지 않는 한 TCP/IP 프로토콜의 취약점을 이용하는 것이 특징이다. TCP/IP 프로토콜을 사용하지 않으면 DDoS 공격을 완전히 막을 수 있기 때문이다." 안후이중신소프트웨어유한공사 기업개발부 이사 서항이 DDoS 공격의 방어난을 설명했다.
"해커들은 TCP 프로토콜의 세 번의 핸드셰이킹을 교묘하게 이용했고, DDoS 공격으로 TCP 의 세 번째 핸드쉐이킹 중 세 번째 단계는 완료되지 못했다. 즉 서버에 확인 연결 정보를 보내지 않는 것이다." 위동이 말했다. 이렇게 하면 서버는 세 번째 악수를 완료할 수 없지만 서버는 즉시 포기하지 않고, 계속 재시도하고 일정 시간을 기다린 후 이 미완성 연결을 포기한다. 이 기간은 보통 약 30 초에서 2 분 정도 지속된다. 한 사용자가 연결 중 문제가 발생하여 서버의 한 스레드가 1 ~ 2 분 동안 기다리는 것은 큰 문제가 아니지만, 누군가가 특수한 소프트웨어로 이 상황을 대량으로 시뮬레이션하면 그 결과를 알 수 있다. 서버가 이러한 대량의 반접속 정보를 계속 처리하고 많은 시스템 자원과 네트워크 대역폭을 소비한다면, 더 이상 일반 사용자의 정상적인 요청을 처리할 시간이 없을 것이며, 서버도 제대로 작동하지 않을 것입니다.
일반적으로 흔히 볼 수 있는 방화벽, 침입 감지 장치, 라우터 등 네트워크 디바이스는 DDoS 공격에 대해 어느 정도 예방 효과가 있지만 조직적인 대규모 공격에 부딪히면 무력한 경우가 많습니다. 그리고 디자인 결함으로 인해 대량의 공격에 직면했을 때 오히려 가장 먼저 마비될 가능성이 높다. 양보 전략이나 시스템 최적화 등의 방법도 소규모 DDoS 공격에만 대처할 수 있으며 대규모 DDoS 공격에는 효과적인 보호를 제공할 수 없습니다.
또한 해커들은 DDoS 공격을 개시하는 것이 범죄라는 것을 알고 있지만 추적의 어려움으로 해커들을 위협한다. 최운붕은 사이트가 공격을 당한 후 인터넷을 통해 배후 흑수를 찾는 것이 큰 문제라고 소개했다. 일반적으로 해커들은 좀비 네트워크를 많이 만들는데, 국내에는 몇 개, 외국에는 몇 개가 있을 가능성이 높으며, 이는 점프식 분포로, 단번에 국내에서 외국으로 뛰어내린 다음 다시 뛰어내릴 수 있다.
한 층 한 층 조사해도, 맨 위에 있는 좀비 호스트를 찾는 것은 어렵다. 또한 해커는 거대한' 육계' 시스템을 여러 부분으로 나눕니다. 한 부분을 찾아도 그 부분을 쉽게 버릴 수 있고, 다른 부분은 계속 일할 수 있습니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 스포츠명언) 이렇게 찾아보면 결국 배후 흑수를 찾을 수 있지만 막대한 인력과 재력비용이 필요하며 국가의 중대한 명성이나 경제적 손실과 관련될 때만 철저히 추적할 수 있으며, 일반적인 상황은 흐지부지될 수 있다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 명예명언)
공급업체 방안은 각각 다르다
현재 DDoS 공격에 100 가지 효과적인 방어 수단이 없다는 것이 업계에서 널리 받아들여지고 있다. 하지만 공격자는 방어자보다 훨씬 큰 자원과 노력을 기울여야 이런' 동력' 을 가질 수 있기 때문에 방어조치를 적극적으로 배치해도 이런 안전위협을 크게 완화하고 막을 수 있다. 그렇다면, 도대체 어떤 기술적 조치를 취할 수 있을까? 현재 동소프트, 화웨이 시몬텍, 씨스코, 녹색연맹, 중신소프트웨어 등은 각기 다른 특색의 솔루션을 내놓고 있다.
east soft 는 트래픽 변경을 통해 DDoS 공격 여부를 감지할 수 있는 방법을 제시했습니다. 웨이동에 따르면 동소프트의 반DDoS 공격 방법은 다른 업체의 방안과는 다르다. 일반 업체들은 특징코드를 통해 DDoS 공격을 받는지 여부를 판단하고, 동소프트는 트래픽 이상을 통해 DDOS 공격을 받는지 여부를 판단한다. 이 두 가지의 가장 큰 차이점은 전자는 알려진 DDoS 공격만 판단할 수 있고, 공격 창고에 없으면 판단할 수 없다는 것이다. 후자는 알 수 없는 DDoS 공격을 판단하고 막을 수 있다.
감지된 DDoS 공격에 대해 East Soft 는 보호선과 제한선을 설정합니다. 즉, 장치가 현재 트래픽 이상이 DDoS 공격이 발생했다고 판단할 때 트래픽 분석을 포함하여 보호선으로 들어갑니다. 흐름이 일정 수준에 도달하고 제한선이 트리거되면 흐름 제한을 위한 강제 조치가 수행됩니다. "Dongson 의 반DDoS 공격 방안은 주로 통신사업자급 DDoS 공격을 겨냥한 것이다. 통신사업자는 해커 공격의 표적이 되기 쉬우며 DDOS 공격을 당한 후 큰 영향을 받을 수 있기 때문이다." 위동은 "중소기업의 DDoS 공격은 방화벽, IPS, UTM 으로 할 수 있다" 고 소개했다.
화웨이 시만텍 보안 솔루션 부장은 중국 경기의 DDoS 공격 해결 방법을 소개했고, 중국 사이는 이상유량감독솔루션 ATIC 를 제시했고, 그 중심사상은 감지센터가 유량이상을 발견한 후 관리센터에 통보하고, 관리센터가 청소센터 유입을 통제하고, 청소센터에서 이상유량과 정상유량을 정확히 구분하고, 이상유량을 버리고, 정상유량을 되돌려 주는 것이다 여기서 관리 센터는 정책 관리 및 보고 렌더링을 중앙 집중화하고 공격 트래픽을 동적으로 제어하여 네트워크 구조 및 네트워크 성능에 미치는 영향을 제거하는 데 사용됩니다.
중국 경기의 Anti-DDoS 디바이스는' NP+ 멀티 코어+분산' 아키텍처를 기반으로 한 계층형 배포, 계층형 보호, 단일 보드당 10G DDoS 공격 트래픽을 청소하는 것으로 알려져 있습니다. 백본 네트워크에 배치된 클리닝 시나리오는 대역폭 DDoS 공격 트래픽의 청소에 중점을 둡니다. 액세스 측면 청소 시나리오는 비즈니스 및 대역폭 자원을 기반으로 한 심층 방어를 위해 작은 트래픽 및 어플리케이션 공격에 중점을 둡니다. "이렇게 하면 DDoS 공격뿐만 아니라 불법 액세스, 보안 전송 및 시스템 보안 문제를 해결할 수 있습니다." 무붕은 화전의 해결책이 다중 방안으로 사이버 안전을 보장하는 해결책이라고 강조했다.
반면 녹색연맹은 현재 이 회사가 DDoS 공격 문제를 기본적으로 해결했다고 보고 있다. 최운붕은 DDoS 공격에 대한 가장 큰 난점은 DDoS 공격에 대한 인식과 트래픽 세척이라고 소개했다. DDoS 공격에 대한 방문이 많아 정상인 것 같기 때문이다.
이에 따라 그린컨소시엄의 제품은 이러한 어려움에 대해 SYN Flood, UDP Flood, UDP DNS Query Flood, (M)Stream Flood, ICMP Flood, htts 를 인식할 수 있는 고유한 알고리즘을 자체 개발했습니다 "Dell 의 방안은 DDoS 공격을 문밖에서 차단하여 서버 내부에 침입하지 못하게 하고 정상적이고 비정상적인 액세스를 선별하여 악의적인 공격을 방지하는 동시에 사용자의 정상적인 액세스를 보장하는 것입니다." 최운붕은 녹색연맹의 DDoS 공격 솔루션의 원리를 총결하였다.
의 새로운 소프트웨어는 주로 소규모 사용자가 겪는 DDoS 공격에 대한 솔루션을 제공합니다. TCP 프로토콜 메시지의 경우 연결 추적 모듈을 통해 공격을 보호합니다. UDP 및 ICMP 프로토콜 메시지의 경우 주로 흐름 제어 모듈을 사용하여 공격을 보호합니다. 들어오고 나가는 모든 연결에 대해 연결 추적을 수행하고 추적하는 동안 보호하여 TCP 프로토콜에 대한 다양한 공격을 해결합니다. 동시에, 다른 포트 응용 프로그램의 경우, 새로운 또한 다른 보호 수단을 제공하여 동일한 서버에서 실행되는 다른 서비스가 완벽한 공격 보호를 받을 수 있도록 합니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 포트명언) "이를 통해 공격을 효과적으로 감지하고, 트래픽에 따라 서로 다른 보호 메커니즘을 트리거할 수 있으므로 효율성을 높이는 동시에 정확성을 보장할 수 있습니다." 서항 소개가 말했다.
배포 방식은 핵심
반DDoS 공격 제품만으로 네트워크나 애플리케이션이 DDOS 공격을 받지 않는다는 보장은 없으며, 이러한 디바이스가 네트워크에 구축되는 방식도 중요하며 애플리케이션 효과를 직접 결정합니다.
Yao Weidong 은 DDoS 공격에 대한 다양한 수준의 장치 배포 효과가 다르다고 판단했으며, 가능한 한 주변에 장치를 배치해야 한다고 제안했습니다. "예를 들어, 시급 사업자 네트워크의 경우 주정부 수출에 DDoS 공격 장비를 배포하는 것이 가장 좋습니다. 지역간 대기업 네트워크의 경우 모든 인터넷 출구에 DDoS 장치를 배치하고 네트워크 관리를 병행하면 공격 가능성을 줄일 수 있습니다. " 위동은 "중소기업들에게는 아직 해커의 주의를 끌지 못했다. 이 경우 적절한 방화벽, IPS, UTM 장비로 하면 된다" 고 말했다.
"통신업체 네트워크 반ddos 공격이라 해도 통신사가 기업에 제공하는 대역폭 서비스 유형에 따라 DDoS 공격 제품에 대한 배포 방안과 배포 모델도 다르다." 무붕은 생각한다. 예를 들어, 운영자가 대역폭 자원을 보호하고, 메트로폴리탄 지역 네트워크 수출 압력을 완화하고, 대역폭 DDoS 공격을 세척해야 하는 경우, netflow 감지 센터+청소 센터+관리 센터의 동적 배수 청소 방안을 배포하는 것이 좋습니다. 운영자가 기업에 보안 광대역 운영 부가 가치 서비스를 제공하는 경우 DPI 감지 센터+청소 센터+관리 센터의 동적 배수 청소 방안을 사용하는 것이 좋습니다. 이때 특히 엔터프라이즈 측에 장비를 배치하여 네트워크 트래픽이 이상할 경우 실시간 세척을 받을 수 있도록 해야 합니다.
02
최운붕은 고객마다 녹색연맹이 서로 다른 배포 방안을 제공한다고 밝혔다. 대형 사업자의 경우, DDoS 공격 트래픽을 시스템 지원 우회 배포 방식으로 견인하는 동시에 여러 개의 블랙홀 장치를 배치하여 클러스터를 형성할 수 있어 대규모 DDoS 공격에 대비할 수 있는 시스템의 능력이 향상되어 정상 트래픽의 원활한 통과를 보장할 수 있습니다. 중소기업의 경우 내장형 배포 시나리오를 사용하여 트래픽 이상이 발생할 경우 공격을 직접 차단하고 기업 네트워크를 적시에 보호할 수 있습니다.
의 새로운 관계자는 중소기업 반DDoS 공격에 대해 언급하면서 전용 장비가 없을 경우 운영 체제 매개변수를 설정 및 최적화함으로써 DDOS 공격에 대한 시스템 자체의 저항력을 높일 수 있다고 언급했다.
IP 를 교체하거나 도메인 이름을 바꾸거나 로드 밸런싱 장치를 구입하여 공격의 근원을 찾아 출처에서 공격을 해결할 수 있다면 가장 좋은 방법입니다. 그러나 현재 공격은 일반적으로 소스 주소를 위조하는 데 사용되고 있으며, 많은 수의 꼭두각시 기계가 존재하기 때문에 이런 방법이 불가능하게 되고 있다. (윌리엄 셰익스피어, 위조자, 위조자, 위조자, 위조자, 위조자, 위조자, 위조자) 따라서 중신설은 중소기업에게는 자체 네트워크 유지 관리 및 시스템 정리가 가장 중요하다고 생각합니다.
보안 업체들은 다양한 DDoS 공격을 방지하는 다양한 장비와 솔루션을 내놓고 배포 구현의 핵심 조치를 제시했지만, DDoS 공격을 방지하기 위해 100 을 시도하는 것은 매우 어려운 것 같습니다. 또한 공급업체가 기술적으로 더 탐구해야 하고, 사용자가 네트워크 감지 및 관리를 강화해야 하며, 정부와 공안부의 강력한 지원이 필요합니다. 전반적으로, DDoS 공격은 공격의 갑작스러운 성과 데이터 흐름의 무한한 팽창으로 인해 예방이 큰 문제입니다. 보안 공급업체가 비교적 완벽한 솔루션을 제시했음에도 불구하고 실제 효과는 아직 시장의 시험이 남아 있습니다.