DoS 관련 글 보기
DDoS 공격별 공격 방법 및 대응 방안 알아보기 1 (대역폭 소진 공격)
DDoS 공격별 공격 방법 및 대응 방안 알아보기 2 (홈페이지 부하 가중 공격)
구분
|
공격 항목
|
공격 내용
| ||
접속처리 한계 초과 공격
|
NTP Amplification
Attack
|
시스템 시간 동기화에 사용되는 NTP(Network Time Protocol)의 시간 동기화 응답 패킷을 대량으로 전송하여 서버의 대역폭을 소진시키는 공격
방어 대책
NTP 설정 아래와 같이 변경(monlist 기능 비활성화)
ntp.conf 설정 파일에 아래 코드 추가
restrict default kod nomodify notrap nopeer noquery
restrict –6 default kod nomodify notrap nopeer noquery
| ||
DNS Query Flooding
|
기관의 DNS에 자체 보유하고 있지 않거나 의미 없는 URL 질의를 대량으로 전송하여 DNS가 정상적인 처리를 하지 못하도록 자원 소모
방어 대책
named.conf 파일에서 IP별 초당 질의 횟수 제한 설정
KISA DDoS 공격 유형별 대응방안
1. DNS 서버의 다중화를 통한 DNS 공격 트래픽 분산 처리
o 가능한 DNS 서버를 다중으로 구성하여 특정 서버로의 공격이 발생 하더라도 다른 서버가 해당 요청에 대해 응답할 수 있도록 구성
< 특정 DNS요청에 대해 다수의 DNS서버 등록 >
IPTABLE을 이용한 ACL 기반의 차단
o 대부분 DNS요청 패킷은 512Byte를 넘을 수 없기 때문에 처리가 가능한 대역폭에서 서비스를 하는 경우라면 iptables등을 이용해 공격 패킷을 차단
예)
iptables –A INPUT –p udp —dport53 –m length —leng 512:1500 –j DROP
(DNS query가 512byte 이상인 경우 패킷 차단)
| |||
TCP Session Flooding
|
대량의 정상적인 TCP 세션 연결을 요청하여 서버가 정상적인
접속을 처리하지 못하도록 서버 자원을 고갈
방어 대책
공격자에 IP 방화벽에서 차단
KISA DDoS 공격 유형별 대응방안
1. Connection Timeout/Keep-Alive/Time-Wait 설정을 통한 차단
o Connection Timeout에 설정된 시간동안 Client와 웹서버 사이에 데이터 신호의 이동이 전혀 없을 경우 Connection을 종료하도록 설정하거나 웹서버에서 keepalive 기능을 사용하는 경우에는 Keepalivetimeout을 사용하여 세션 공격을 차단
httpd.conf 의 timeout 설정을 통한 세션공격 차단 예
다만, 공격자는 방어 정책 우회를 위해 Content-Length와 실제 전송하는 데이터의 크기를 조정하고 데이터 전송 term을 짧게 가져가면서도 Connection을 오랫동안 유지할 수 있으므로 이 대응 방안은 일정한 한계가 있음
2. L7 스위치의 임계치 설정 기능을 이용한 차단
o L7 스위치를 운영하는 경우, IP당 Connection Limit을 설정하여 하나의 Client와 Server가 맺을 수 있는 Connection 수치를 조절하여 차단
| |||
IP CheckSum Error
|
패킷의 정상여부를 확인하기 위한 CheckSum기능을 이용하여 지속적으로 CheckSum값을 변경하여 패킷을 전송, 이를 확인하기 위해 서버의 자원이 소진
방어 대책
방화벽에서 불필요한 서비스 차단
|
