[ 一日30分 인생승리의 학습법] DDoS 공격 대처 및 방어

 대표적 DDoS 방어 기술

• ACL (Access Control List)
  • 가장 일반적인 유해 트래픽 차단 기술로써 IP주소, 서비스 포트 그리고 컨텐츠를
    기반으로 한 차단이 가능하다. 하지만 이 방법은 접근통제를 위한 별도의
    ASIC 화된 모듈이 없을 경우 네트워크 장비에 많은 부담을 주어 성능저하의 원인이
    될 수 있다. 또한 ISP와 같은 많은 네트워크 장비를 보유하고 있는 기관의 경우,
    이들 장비들에 접근통제 정책을 업데이트하기 위해서 별도의 스크립트를 작성하거나,
    그렇지 않은 경우 개별적으로 로그인하여 설정을 변경하여야 하는 어려움이 있다.
• Null0 Routing
  • 특정한 목적지로 향하는 패킷들을 Null0라는 가상 인터페이스에 포워딩 함으로써 drop
    시킬 수 있는 기술. 국외에서는 Blackhole Routing 또는 블랙 필터링 이라 불리고 있지만
    국내에서는 Null0 라우팅 이라고 한다. 이 기술은 네트워크 장비의 기본 기능인 포워딩
    기능을 시용하므로 ACL 기술에 비해 장비의 과부하가 거의 없으나, IP 기반(L3)의
    필터링만 제공할 수 있고, 서비스 포트(L4)나 컨텐츠(L7)에 의한 핕터링은
    불가능한 단점을 가지고 있다.
• uRPF(unicast Reverse Path Forwarding)
  • 출발지 IP주소를 위장(IP Spoofing)한 공격을 차단해 줄 수 있는 기술로써, 라우터가
    패킷을 받으면 출발지 IP 주소를 확인하여 해당 IP로 갈 수 있는 역경로(Reverse Path)가
    존재하는지 확인함으로써 출발지 IP 주소를 신뢰한다. 대부분 DoS 또는 DDoS 공격이
    자신의 출발지 주소를 위장하므로 uRPF는 상당히 효과적인 서비스거부공격 차단 수단이
    될 수 있다. 하지만, 이 기술 역시 다수의 라우팅 경로가 존재하는 비대칭 망구조를
    가지고 있을 경우 적용의 한계(stricy 모드 사용 못함)가 있으며, Spoofing 을 방지하는
    것 이외에 다양한 서비스거부공격에 대한 대응 기능이 존재 하지 않는다.
• Rate-Limit
  • 특정 서비스 또는 패턴을 가진 패킷이 단위시간 동안 일정량 이상 초과할 경우
    그 이상의 패킷을 통과시키지 않도록 하는 기술을 Rate-Limit 기술이라 함.
    이것은 Ratefiltering 이라고도 하며, Cisco에서는 CAR(Commit Access Rate)로
    구현하고 있다. 이 기술은 Syn flooding 공격시 Syn 패킷의 Bandwth 제한,
    Smurf 공격이 ICMP 패킷의 Bandwith 제한 등에 유용하게 사용될 수 있다.
    하지만, 비정상적인 패킷 뿐만 아니라 정상적인 패킷도 차단될 수 있으며,
    해당 기능을 수행하는 전용 모듈이 없을 경우 라우터에 과부하를 유발시킬
    수 있는 단점이 있다.

서비스 거부 공격 탐지
 

NetBios Name Release DoS 공격을 받았을때
 

 

SYN Flood 공격을 받았을때

신뢰 할 수 있는 방어 프로그램
 

경축! 아무것도 안하여 에스천사게임즈가 새로운 모습으로 재오픈 하였습니다.
어린이용이며, 설치가 필요없는 브라우저 게임입니다.
https://s1004games.com

• mod_evasive
  • Apache 서버 모듈 프로그램
  • HTTP 프로토콜로 들어오는 DoS/DDoS 공격을 탐지하고 방어
  • http://www.zdziarski.com/projects/mod_evasive/
• Snort
  • 윈도우용 네트워크 상태 모니터 프로그램
  • http://www.snort.org/
• Microsoft 의 TCP/IP 파라미터 구성
  • 첨부된 레지스트리(reg.zip)를 등록한다.
  • Windwos Server Edition 2000/2003 과 Windows XP 에서만 효과 있음

ddos 방어 레지스트리.zip

[출처] http://rasoft.tistory.com/22