Home > DDoS란? > 공격유형



    • IP 변조 후 다량의 Syn 패킷을 공격 대상 서버로 전송
    • 공격 받은 서버는 다수의 SYN_RECEIVED 세션 상태가 발생
    • 서버의 CPU 및 Connection 자원의 고갈을 유발
    • 1) 비정상 IP에 대한 ACL 적용
      RFC1918에서 지정한 비공인 IP
      특정 목적을 가진 IP 및 IANA에서 reserved한 IP
    • 2) 해외 트래픽 차단 (NULL 라우팅 적용)
      ISP/IDC 등과 협조하여 국제 GW에서 해외 트래픽 차단(NULL 라우팅)
      라우터 간의 Dynamic Routing을 통한 점진적인 트래픽 감소 유도
    • 3) Syn Proxy 또는 Cookie 기능 사용
      Syn Proxy/Cookie 기능을 제공하는 보안 장비 및 네트워크 장비 이용
      단, 장비의 성능 파악 후, 적용 필요


    • IP를 변조하지 않고, 다량의 Syn 패킷을 공격 대상 서버로 전송
    • 공격 받은 서버는 다수의 ESTABLISHED 세션 상태가 발생
    • 서버의 CPU 및 Connection 자원의 고갈을 유발
    • 1) 공격의 진원지가 국외일 경우
      ISP/IDC 등과 협조하여 국제 GW에서 해외 트래픽 차단(NULL 라우팅)
      라우터간의 Dynamic Routing을 통한 점진적인 트래픽 감소 유도
    • 2) 공격의 진원지가 국내일 경우
      C&C 서버의 조정을 받고 있는 봇넷 PC에 의한 경우가 대부분
      대외기관에 공격 IP를 제공하여 봇넷 샘플 확보
      샘플 분석을 통하여 C&C 서버와 봇넷 PC와의 통신 차단(대외기관 등 협조)
      긴급한 보안 프로그램 업데이트 수행(보안업체 협조)
      공격 소스 IP가 소수일 경우, ACL을 이용하여 차단
    • 3) DDOS 대응 시스템 사용
      민원 접수 및 모니터링을 통하여 장애 발생 가능성에 대비


    • 다량의 ACK/SYN+ACK/FIN/RST 등의 패킷을 공격 대상 서버로 전송
    • 방화벽이나 L4 등과 같이 세션을 관리하는 장비에서 차단
    • 일부 네트워크 장비 및 서버의 CPU 사용량이 올라가는 등 오작동 발생 가능
    • 1) IP가 변조된 경우
      IP Spoofed Syn Flooding 공격 대응 방안과 동일
    • 2) IP가 변조되지 않았을 경우
      TCP Connection Flooding 공격 대응 방안과 동일
    • 3) 보안 패치 및 장비 교체
      취약한 네트워크 장비 및 서버에 대한 패치 및 교체 진행




    • IP를 변조하지 않고, 정상적인 3 way handshake 후 동일한 URL 반복 요청 (get /index.jsp 등)일부
    • 웹서버의 CPU 및 Connection 자원의 고갈을 유발
    • 1) 공격의 진원지가 해외일 경우
      TCP Connection Flooding 공격 대응 방안과 동일
    • 2) 공격의 진원지가 국내일 경우
      TCP Connection Flooding 공격 대응 방안과 동일
    • 3) 서버 설정 변경(임시방안)
      KeepAlive를 off로 변경
      MaxClient를 최대수치로 조정
    • 3) 웹서버 증설
    • 4) DDOS 대응 시스템 사용


    • 정상적인 3 way handshake 후 로그인 및 상품 조회와 같은 요청 반복 전송
    • 웹서버 및 DB 서버의 CPU 및 Connection 자원의 고갈을 유발
    • ‘동일 URL 반복 접속 시도’ 대응 방안과 동일




    • 1000~1500byte 정도의 큰 패킷을 공격 대상 서버(네트워크)로 전송
    • 네트워크 회선 대역폭 고갈
    • 공격 대상 서버와 같은 네트워크에서 운영 중인 모든 서버의 접속 장애 유발
    • 1) 불필요한 UDP/ICMP 서비스 차단
      가능한 최상위 구간(국제 GW, IDC 라우터 등)에서 차단
    • 2) 공격 대상 서버에 대한 NULL 라우팅 적용(임시방안)
      공격 대상 서버에 대한 NULL 라우팅을 적용하여 점진적으로 공격 트래픽 감소
      동일네트워크에서 운영중인 다른 서버/서비스 보호
    • 3) DNS 서버의 다중화
      다중 DNS 서버를 운영
      제3의 등록기관에 DNS를 등록
    • 4) DNS 전용 회선 준비
      서비스 네트워크 회선과 별도로 우회할 수 있는 DNS 전용 회선 마련




    • 1) 보안 시스템 사용
      IDS, TMS 등과 같은 모니터링 시스템을 통하여 공격 트래픽에 대한 분석
      생성된 패턴을 IPS, L7 스위치 등에 적용하여 차단


    • 1) 보안 패치
      취약한 네트워크 장비 및 서버에 대한 패치를 진행
    • 2) 보안 시스템 사용
      IDS, TMS 등과 같은 모니터링 시스템을 통하여 공격 트래픽에 대한 분석
      생성된 패턴을 IPS, L7 스위치 등에 적용하여 차단


※ 기타 고려사항

공격에 대비한 사전 준비 공격 발생시
- 모니터링 체계 구축
  공격 징후 및 공격 발생 시, 즉시 인지 및 분석 가능
- 공격에 대비한 업무 분장을 통한 단일 명령 체계 확립
- 대외 협력 기관과의 협조 체계 및 비상 연락망 사전 구축		 - 공격 확산 방지
  대응방안에 따른 초동 대응
  네트워크 수준으로의 공격 확산 방지
- ISP/IDC 등과의 적극적인 협력
  실시간 정보 공유 및 공동 대응 방안 마련
- 대외 협력 기관과의 협력
  샘플 확보 및 분석
  보안 프로그램(백신) 업데이트, 봇넷 제거 등