DDoS 모의 훈련 시나리오 예시

실제 공공기관에서 진행한 DDoS 모의 훈련을 토대로 가상의 시나리오를 기술합니다.

시나리오 예시

1. 사전 준비
   1. 시간 : 22:00~22:30
   2. 공격 망 구성 및 테스트 진행
   3.

      1. 공격 지점에 대한 시스템 및 네트워크 구성 확인
      2. 기존 서비스망에 L2 스위치 연결하여 공격망 구축
2. DDoS 수행 공격
   1. 시간 : 22:30 ~ (명일)01:30

   2. 각 공격에 각 시스템은 모니터링하여 증적 자료를 남김

      1. 리소스(CPU, 메모리)

      2. 유입 트래픽 량

      3. 해당 될 경우 탐지/차단 로그
   3. 공격 유형
      1. TCP Syn Flooding
         1. 50개 IP : 500패킷/초
         2. 500개 IP : 1000패킷/초
      2. TCP Ack Flooding
         1. 50개 IP : 500패킷/초
         2. 500개 IP : 1000패킷/초
      3. UDP Flooding
         1. 50개 IP : 500패킷/초
         2. 500개 IP : 1000패킷/초
      4. ICMP Flooding
         1. 50개 IP : 500패킷/초
         2. 500개 IP : 1000패킷/초
      5. HTTP Slowloris Attack
      6. HTTP CC Attack
         1. 정상 공격 불가
      7. 복합 공격(ICMP + UDP + TCP Flooding)
         1. 50개의 IP
            1. ICMP : 1000패킷/초
            2. UDP : 1000패킷/초
            3. TCP : 1000패킷/초
3. 모의훈련 목적 : 대응 체계 점검
   1. 탐지 : 각 단계별 공격에 대하여 DDoS 대응 시스템 및 각 장비 실시간 모니터링
   2. 대응 : 각 단계별 공격 시 DDoS 대응 시스템의 탐지 및 차단 여부 확인
   3. 사후 관리
      1. 처리결과 보고
      2. 재발방지 대책 수립
      3. 재발방지 대책 담당자 교육
4. 장애 발생 시 조치 방안
   1. 시스템/네트워크 장애 발생
      1. 훈련 진행 중 예기치 않은 장애 발생 시 트래픽 발생 중단
   2. 네트워크 장비
      1. DDoS 대응 / 네트워크 / 방화벽 / IPS 장비
      2. 트래픽 및 리소스 모니터링
      3. 장애 시 트래픽 발생 중단 요청
      4. 장비 안정화 안 될 경우 장비 재부팅
   3. 공격 대상 서버
      1. 트래픽 및 리소스 모니터링
      2. 장애 시 트래픽 발생 중단 요청
      3. 장비 안정화 안 될 경우 프로세스 재부팅
      4. 3조치 후에도 서비스가 안 될 경우 서버 재부팅