DDOS 대응시스템 장비(AhnLab) 공격 별 필터 적용 예시

각 DDoS 공격 별 안랩 DDoS 대응시스템 장비(DPX 모델) 필터 적용 예시 기술

1. TCP SYN Flooding
   1. 설명 : TCP의 3-way-handshake 과정에서 발생 가능한 취약점을 이용 한 공격 유형. 장비의 CPU나 메모리, 운영체제의 자원을 고갈시키는 공격 유형
   2. 대응 필터
      1. Anti-Spoofing
         1. TCP 인증 필터
         2. TCP, DNS 요청에 대해 DPX에서 대리응답하여 정상/비정상 검증 처리 한 후, 정상적인 세션만 서버로 전달
      2. 행위규칙
         1. 임계치 기반의 방어. 일반적으로 1~2초당 기준값(임계치)를 정해두고 넘을 경우 설정에 따라 패킷 처리(ex 허용, DDoS Filter 적용, 일괄 차단, 시스템 격리등)
         2. 해당 Rule
            1. DoS_TCP_Syn_Only
            2. DDoS_TCP_SYN_Only

2. TCP Connection Flooding
   1. 설명 : 3-way-handshake만 맺고 아무런 행위도 하지 않는 공격유형. 웹 등의 서버의 커넥션을 소모하기 위해 다량의 커넥션을 맺어 자원을 고갈 시키는 공격. SYN Flooding과 유사하지만 Real IP를 사용하기 때문에 정상적인 3-way-handshake가 이루어 지는 것이 차이점
   2. 대응 필터
      1. HTTP 접속 인증
         1. 보호대상이 HTTP 서비스 일 경우 해당 필터로 대응
         2. HTTP Request에 대한 Redirection을 통한 방어 기법

3. UDP Flooding
   1. 설명 : UDP는 3-way-hanshake와 같은 연결을 맺는 절차 없이 일방적으로 데이터 전송. 패킷의 구조가 단순하고 패킷의 크기뿐만 아니라 출발지 IP도 함께 위조 가능. 출발지IP로 공격자를 추적하는 것은 거의 불가능.
   2. 대응 필터
      1. 행위 규칙
         1. 임계치 기반의 방어
         2. 해당 Rule
            1. DDoS_UDP
            2. DoS_UDP

4. ICMP Flooding
   1. 설명 : ICMP는 인터넷 환경에서 오류에 관한 처리를 지원. UDP 프로토콜 대신 ICMP 프로토콜을 사용한다는 점만 제외하면 동일
   2. 대응 필터
      1. 행위 규칙
         1. DDoS_ICMP
         2. DoS_ICMP

5. Slowloris
   1. 설명 : HTTP Header 정보를 비정상적으로 조작하여 웹서버가 온전한 Header정보가 올때 까지 기다리도록 한다. HTTP에선 헤더의 끝을 /r /n 이라는 개행문제로 구분. 이 마지막 개행문자를 보내지 않고 의미없는 변수를 추가하면 서버는 연결을 유지.
   2. 대응 필터
      1. HTTP 접속 인증

6. RUDY
   1. 설명 : R-U-Dead-Yet의 약자. POST 메소드로 대량의 데이터를 장시간에 걸쳐 분할 전송하여 장시간 유지. 서버가 POST 데이터를 모두 수신하지 않았다고 판단하면 전송이 다 이루어질때 까지 연결을 유지한다. 이러한 연결을 다량 만들어 각각의 연결이 장시간 유지.
   2. 대응 필터
      1. HTTP 접속 인증