FAQ

디도스 방어 서비스

DDoS 공격이란

[DDos(Distributed denial of service attack)이란?]

인테넷상에서 다수의 시스템이 협업하여 하나의 표적시스템을 공격함으로써 서비스를 거부할 수 밖에 없는 상황을 만드는 것을 말합니다. 표적 시스템은 범람하는 메시지(패킷)들로 인해 결국 시스템 가동이 멈추거나 혹은 느려지게 되어, 선의의 사용자들은 정작 그 시스템으로부터 서비스를 받지 못하는 일이 발생 하게 됩니다.

[DDos의 유형]

1) SYN Flood : netstat 명령어를 이용하여 SYN_RCVD의 State를 개수로 공격 여부를 판단 할수 있다. 공격자는 서버에 수 많은 TCP(SYN)요청 메시지를 보낸다. 이때 패킷내부의 IP를 속이거나 인테넷상에서 사용하지 않는 IP값으로 변형시킨다. 그러면 서버는 변형된 IP값에 대해 접속을 계속적으로 맺으면서 SYN/ACK 응답을 보낸 클라이언트로부터 ACK가 올 때 까지 기다리는데 서버는 ACK를 받지 못한다. 이렇게 되면 결국 서버는 ACK을 받을 때까지 버퍼와 같은 자원 및 포트를 열어 놓게 되고 서버는 결국 자원 고갈로 서비스 불가능 상태로 된다. 공격시 간단히 공격 여부를 알아 볼수 있는 방법은 netstat 명령어를 이용하여 SYN_RCVD의 State를 개수로 공격 여부를 판단 할수 있다. 만약 정상적인 시스템이라면 개수가 0 이여야 한다.

2) Smurfing : 핑 홍수(ping flood)라고도 하며, 핑 홍수(ping flood)라고 하는데, ICMP패킷을 말 그대로 홍수처럼 상대 컴퓨터 시스템에 퍼붓는 방식으로 해당 네트워크을 마비 시켜 피해 범위가 광범위하다.

3) Fraggle :Smurfing과 유사한 형태이나 ICMP대신 UDP를 이용한다.

[최근 공격 성향]
1) 시스템의 테스트 기간을 조심하라!!!
최근 DDos의 공격 조사 보고서에 따르면 공격 받은 시스템 중 65%가 시스템 테스트 기간 중 공격 받는 것으로 조사 되었다. 테스트 기간이라고 방심하면 낭패를 당할 수 있다.

2) 한번 공격 받은 시스템은 다시 공격 받을 수 있다!!!
한번 공격을 받은 시스템 중 18%는 다시 공격 받는 것으로 조사 되었으며 연속적인 공격으로 서비스의 중지는 운영자에게는 더욱 더 치명적이다.

3) 중국을 조심하라!!!
최근 공격이 들어 오는 쪽은 중국으로부터의 공격이 가장 많으며 그 중에서도 UDP 80port 를 이용한 공격으로 네트워크 대역폭을 모두 써버리는 공격이 가장 많다.

[공격 방지 및 조치 방법]

1) 시스템 엔지니어의 지속적이고 신속한 패치 작업이 이루어 져야 한다.
시스템 엔지니어는 신속한 패치 및 백업만 잘 해도 50%의 업무는 잘 했다고 봐도 무방하다.

2) 방화벽을 권장 한다.
DDos공격을 일반 적인 방화벽으로 차단하기는 어려우나 IDS,IPS,웹방화벽를 함께 구축하면 공격을 좀더 효과적으로 탐지 및 방어 할 수 있다.

3) UDP를 이용하라
특정 서비스를 하는 시스템은 철저한 모니터링 및 방어체제 시스템이 필요하다.