봇넷 방어 방법
컴퓨터가 봇넷의 DoS 공격을 받는 경우 선택할 수 있는 옵션이 거의 없습니다. 일반적으로 봇넷은 지리적으로 분산되어 있으므로 컴퓨터를 공격하는 패턴을 파악하기가 어렵습니다.
수동 OS 지문 인식은 봇넷에서 발생한 공격을 확인할 수 있으며, 네트워크 관리자는 수동 OS 지문 인식을 통해 얻은 정보를 사용하여 봇넷에 대한 조치를 취하도록 방화벽 장치를 구성할 수 있습니다. 최선의 방어는 특수 하드웨어가 설치된 침입 방지 시스템을 활용하는 것입니다.
일부 봇넷은 무료 DNS 호스팅 서비스를 사용하여 하위 도메인이 "브로일러"가 숨어 있는 IRC 서버를 가리키도록 합니다. 이러한 무료 DNS 서비스는 자체적으로 공격을 시작하지는 않지만 참조 지점을 제공합니다. 이러한 서비스를 제거하면 전체 봇넷이 중단될 수 있습니다. 최근 일부 회사에서는 이러한 도메인의 하위 도메인을 제거하려고 시도했습니다. 봇 커뮤니티에서는 이러한 유형의 라우팅을 "널 라우팅"이라고 부릅니다. 왜냐하면 DNS 호스팅 서비스는 종종 문제가 되는 하위 도메인을 연결할 수 없는 IP 주소로 리디렉션하기 때문입니다.
앞서 언급한 좀비 서버 구조는 본질적인 취약점과 문제점을 갖고 있다. 예를 들어 봇넷 터널이 있는 서버가 검색되면 다른 모든 서버와 봇도 노출됩니다. 봇넷 서버에 중복성이 부족한 경우 서버 연결을 끊으면 전체 봇넷이 붕괴됩니다. 그러나 IRC 서버 소프트웨어에는 다른 서버와 봇을 가리는 기능이 포함되어 있으므로 채널을 발견한다고 해서 반드시 봇넷이 소멸되는 것은 아닙니다.
호스트 기반 기술은 경험적 방법을 사용하여 기존 바이러스 백신 메커니즘을 우회하는 봇 동작을 식별합니다. 네트워크 기반 방법은 위의 기술을 점진적으로 사용하여 "널 라우팅" DNS 프로젝트와 같이 봇넷이 생존을 위해 의존하는 서버를 종료하거나 IRC 서버를 완전히 종료합니다.
그러나 차세대 봇넷은 거의 전적으로 P2P이며 동적 업데이트 및 변경을 통해 봇넷에 명령 및 제어 기능이 포함되어 있어 단일 지점의 오류를 방지할 수 있습니다. 스파이웨어는 공개 키를 사용하여 모든 의심스러운 비밀번호를 봇에 "하드코딩"할 수 있습니다. 봇넷이 캡처한 데이터는 봇 컨트롤러가 보유한 개인 키를 통해서만 읽을 수 있습니다.
신세대 봇넷은 자신의 작동 방식을 분석할 수 있는 시도를 탐지하고 대응할 수 있다는 점에 유의하는 것이 중요합니다. 예를 들어 대규모 봇넷은 연구원이 분석 및 연구되고 있음을 감지하면 네트워크에서 연구원의 연결을 끊을 수도 있습니다. 따라서 부대에는 전문적인 봇넷 솔루션이 필요합니다.
봇넷 솔루션
좋은 소식은 위협이 계속 증가함에 따라 국방군도 신속하게 대응하고 있다는 것입니다. 대기업의 수장이라면 일부 상용 제품이나 오픈 소스 제품을 사용하여 이러한 위협에 대처할 수 있습니다.
첫 번째는 시그니처에 의존하지 않고도 모든 공격을 명확하게 파악할 수 있는 FireEye의 제품입니다. FireEye의 가상 머신은 비공개이므로 공격자가 이러한 가상 머신을 손상시키는 방법을 배울 위험을 완화합니다. FireEye는 봇넷 노드를 식별하고 해당 노드가 클라이언트 네트워크와 통신하는 것을 방지할 수 있습니다. 이를 통해 고객 IT 직원은 FireEye가 봇넷 공격을 탐지하면 조치를 취하고 감염된 시스템을 쉽게 재구축할 수 있습니다. 네트워크 액세스가 덜 중요할 경우 감염된 시스템을 즉시 금지할 수 있습니다. Damballa는 봇넷을 추적하고 방어하기 위해 자체 기술을 개발했습니다. 회사의 Failsafe 솔루션은 서명이나 행동 기반 기술을 사용하지 않고 기업 네트워크 내에서 손상된 호스트를 식별합니다. 또한 SecureWorks와 eEye Digital Security도 봇넷에 대처할 수 있는 자체 특화된 기술을 보유하고 있습니다.
Google과 같이 잘 알려진 대기업이 봇넷에 의해 무너질 가능성은 거의 없습니다. 그 이유는 간단합니다. 주로 분산 서버에 의존하기 때문입니다. DDoS 공격자는 전 세계적으로 분산된 네트워크를 정복해야 하는데, 네트워크가 초당 최대 650Gb의 데이터를 처리할 수 있기 때문에 이는 거의 불가능합니다. 소규모 회사는 인터넷 공급자를 신중하게 선택하여 DDoS 공격으로부터 보호할 수 있습니다. 공급자가 고속 링크 액세스 수준에서 공격을 식별하고 필터링할 수 있다면 좋은 생각입니다.
그러나 DDoS 공격 활동은 탐지하기 쉽고 강력하기 때문에 방어자는 이를 쉽게 격리하고 봇넷을 제거할 수 있습니다. 범죄 조직은 일반적으로 노출을 최소화하면서 더 많은 돈을 벌 수 있는 작업에 자원을 확보합니다.