[네트워크 장비 취약점 진단] DDoS 공격 방어 설정 또는 DDoS 장비 사용

 

 

N-13 DDoS 공격 방어 설정 또는 DDoS 장비 사용

 

■ 점검영역 : 기능 관리

 

■ 항목 중요도 :

 

■ 점검내용

 

DDoS 공격 방어 설정을 적용하거나 DDoS 대응장비를 사용하는지 점검

 

■ 점검목적

 

네트워크 장비 또는 DDoS 대응장비에 DDoS 공격 방어 설정을 적용하여 DDoS 공격 발생 시 피해를 최소화

 

■ 보안위협

 

DDoS공격으로 인해 사용 가능한 네트워크 및 시스템 리소스 속도가 느려지거나 서버가 손상 될 수 있음

 

■ 참고

 

※ DDoS(Distributed Denial of Service): 해커에 의해 감염된 다수의 좀비 PC로부터 다량의 트래픽이 특정 서버로 유입되어 시스템, 네트워크에 가용성을 저해시켜 서비스를 방해하는 공격

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

경계 라우터에서 DDoS 공격 방어 설정을 하거나 DDoS 대응장비를 사용하는 경우

 

취약

경계 라우터에서 DDoS 공격 방어 설정을 하지 않거나 DDoS 대응장비를 사용하지 않는 경우

 

■ 조치방법

 

DDoS 공격 방어 설정 점검

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS

Router# show running
DDoS 방어 설정 요소 확인

 

Juniper Junos

[edit]
user@host# show configuration
DDoS 방어 설정 요소 확인

 

■ 장비별 조치방법 예시

 

공통
스푸핑 방지 필터링 등을 제외한 DDoS 공격 방어 설정은 DDoS 공격 발생 시 공격 유형과 상황을 고려하여 적용


1. ACL(Access Control List)
- 스푸핑 방지 필터링을 사전 적용(N-13)
- DDoS 공격 유형에 따라 공격 대상 IP 주소, 프로토콜, 포트를 임시 차단

 

2. Rate limiting
- 특정 유형의 트래픽에 대역폭과 일정시간 동안 전송량을 제한
- DDoS 공격 유형에 따라 UDP, ICMP, TCP SYN 패킷의 대역폭을 제한함으로써 다른 서비스에 필요한 대역폭을 확보
- 하드웨어 기반 전용모듈이 없는 경우 정책 수에 따라 라우터의 CPU 부하가 증가


3. TCP Intercept
- TCP SYN Flooding 공격로부터 서버를 보호하며 Intercept 또는 Watch 모드로 설정
- Intercept 모드는 SYN 패킷을 서버로 전송하지 않고 라우터가 대신 SYN-ACK를 응답하고 정상적으로 TCP 3-way Handshake가 완료되면 서버로 원래 SYN을 전송
- Watch 모드는 SYN 패킷을 서버로 전달하고 30초 안에 연결 성립이 완료되지 않으면 서버에 RST를 전송하여 불완전 연결 상태를 정리
- Intercept 모드는 Watch 모드보다 라우터의 많은 메모리와 CPU를 사용

 

조치 시 영향 : 필터링 적용 시 사용하는 ACL은 라우터 성능에 많은 영향을 미침

 

 

반응형

댓글(0)

Designed by JB FACTORY