DDoS 전용 대응장비

DDoS 전용 대응장비DDoS 공격 탐지 및 차단 , 실시간 모니터링

DDoS eXclusion

INDEX

Chapter 1

•제안 배경 및 개요

Chapter 2

•DDoS 보안장비의 방향성

Chapter 3

•제품 소개

Chapter 4

•별첨

3/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved

DDoS 공격 정의 및 개념도 1. 제안 배경 및 개요

DDoS (Distributed Denial of Service) Attack

분산 서비스 거부 공격으로 다수의 공격자 ( 기형 패킷 ) 에 의해서 특정 서버가 피해를 받는 것으로 시스템이 느려지거나 다운되는 현상

정상적인 서비스 거부 , 서비스 다운 및 시스템 병목현상 발생


DDoS 공격 현황 1. 제안 배경 및 개요

2000 2006 2007 2010

2009.8: 그루지아 블로거 대상 정치적 DDoS

( 트위터 , 페이스북 )

2009.7: 미국 및 한국의 주요 사이트에 대한 DDoS

2007.9: 게임아이템 거래사이트에 대한 금품요구 ( 트래픽규모 : 수 Gbps~15G)

2007.9: 바이럿 (Virut) 바이러스에 의한 DDoS

2007.6: 여행업 , 펜션예약 사이트 등 금품요구 2007.5: 에스토니아 정부 , 국회 등의 사이트 DDoS

( 약 3 주간 마비 )

2007.2: 루트 DNS 6 개가 바이럿으로 인한 DDoS

2007.1: 도메인 등록대행사 사이트에 대한 DDoS

2006.11: 미국 특정 IP 에 대한 DDoS

( 일부 IDC 부분장애 )

2006.10: 성인 화상채팅사이트 금품요구 등

DDoS공격

DDoS공격 DDoS 급증

공격규모 증가

출처 : 국가사이버안전센터


DDoS 공격 형태 변화 1. 제안 배경 및 개요

1

공격이 점차 자동화되고 정교해짐 손쉬운 공격 툴의 증가 ( Netbot, Slowloris 등 )

BotNet(IRC, HTTP, P2P 등 ) 을 이용한 정교한 공격 제어

이메일 , 웹 서버를 통한 악성코드 전파 ( 좀비 PC 의 증가 )

악성코드 제작 , 유포 , 협박 및 공격 등의 조직적 역할 분담 .

HTTP GET 과 같은 응용계층을 대상으로 하는 공격이 증가 TCP/ICMP Flooding 등 대역폭 공격과 함께 소량의 응용계층 공격을 감행

시스템 레벨네트워크 레벨

33다량의 패킷

2소수 좀비

1소량의 패킷

다수 좀비 (봇넷 )

응용 레벨


DDoS 공격 종류 1. 제안 배경 및 개요

사용 프로토콜 TCP 주로 UDP/ICMP HTTP 비고

공격 PC 위치 국내 / 국외 국내 국내 / 국외

IP 변조여부 변조 / 실제 IP 변조 / 실제 IP 실제 IP

공격 유형64byte 이하 100Mbyte

수십만 ~ 수백만 PPS

1000~1500byte1Gbyte

수십만 PPS동일 URL 접속 시도

공격 효과네트워크 장비 , 보안장비 ,

서버 등의 부하 발생회선 대역폭 초과 웹 서버 부하 발생

피해 시스템공격 대상 시스템 또는 동일

네트워크에서 사용 중인 모든 시스템

동일 네트워크에서 사용중인 모든 시스템

공격 대상 시스템

주요 공격 예 )TCP SYN Flooding/TCP

NULL Flooding/TCP ACK Flooding/

UDP Flooding/Ping Flooding/ICMP Flood-

ing

HTTP no-cache Re-quest Flooding,

Cache-Control Attack

구분 세션고갈 대역폭 고갈 공격 어플리케이션 공격


기 ) 보안장비의 한계점 -1 1. 제안 배경 및 개요

ACL(Packet Filtering) , Blackholing & Sinkholing

네트워크 장비에 부하 발생 , Application Attack 방어 불가 .

Source IP Spoofing 공격 대응 불가

IP, Port Level Filtering

Application Attack 방어 불가 .

Source IP Spoofing 공격 대응 불가


1. 제안 배경 및 개요기 ) 보안장비의 한계점 -2

SYN Proxy 를 이용한 방어 ( 보안장비의 Gateway )

WEB 서비스를 보호하는 목적으로만 적절

IP Spoofed TCP 방어전용

UDP, ICMP 방어 불가능

Packet Latency 문제 발생

대형 네트워크 망의 부적절

정상 1st TCP Handshake Drop

대용량 Syn DDoS 장비 로드↑

Chapter 1


Chapter 2


Chapter 3

•제품 소개

Chapter 4

•별첨

INDEX


DDoS 대응시스템 요구사항 -1 2. DDoS 방어장비의 방향성

오탐 Zero 원칙

안정성

DDoS 전용장비의 오탐으로 서비스의 장애 유발 가능성 사전 제거

DDoS Attack Packet 만 차단 Business 연속성 유지

보안장비 운영으로 망의 Packet Latency 를 고려 .

성능 지연 제거 보안장비의 장애로 인한 망 장애 요소 제거


DDoS 대응시스템 요구사항 -2

다양성 ( 다양한 종류의 공격 방어 )

Source IP Spoofing 에 대한 대응

다양하고 복합적으로 발생되는 공격에 대한 대응

세션고갈공격 / 대역폭 공격 / 웹 어플리케이션 등 다양한 공격 방어

HTTP no-cache Request Flooding, Cache-Control Attack 방어

Zero-Day Attack 및 알려지지 않은 공격 탐지 및 자동화된 대응 ( 학습기법 )

취약점 발생시 패턴 자동패치 및 대응 (MAPP 체결 )

자동화

2. DDoS 방어장비의 방향성

Chapter 1


Chapter 2


Chapter 3

•제품 소개

Chapter 4

•별첨

INDEX


DDoS 시스템 구성도 3.1 제품의 기본 특징3. Sniper DDX

구조 분석구조 분석

라우터 와 L4 사이 전방위 위치하여 DDoS 방어

네트워크에 In-line 모드로 설치

Transparent 다른 장비 구성 변경 없음

제 1 차 방어선 : 접속고갈 공격 , 대역폭 확보 제 2 차 방어선 : 침입 및 해킹 등 위협 방어


DDoS 방어전략 3.1 제품의 기본 특징

Attack 의 다양성 , 복합적으로 발생되는 지능화된 DDoS 의 방어 전략 Self-Learning 기술을 기반한 지능적 탐지 / 방어

행동기반 탐지 / 방어 + 시그네쳐 기반 탐지 / 방어 + 자동학습에 의한 탐지 / 방어

3. Sniper DDX


DDoS 방어범위 3.1 제품의 기본 특징

알려지지 않은 공격

자가 학습 후 방어 시그네쳐 추출 엔진 자가 학습기능 & 자동시그네쳐 생성 Non Spoofed & Spoofed DDoS with DATA

행동 기반 StatisticAnalysis Engine

임계치 기반 탐지 / 방어 수행 Non Spoofed & Spoofed DDoS

행동 기반Triple ‘S’Engine

Spoofed TCP(Syn) Protection Hybrid DDoS Protection

알려진 공격

시그네쳐Multi-Filtered

Engine

화이트리스트 , 블랙리스트 Non-Spoofed TCP/UDP/ICMP Protection

시그네쳐 A.L.S.I Engine De-Fragmentation, De-Segmentation L7 기반 세션조합 공격 방어

구분 방어 방법 방어 엔진 방어 범위

3. Sniper DDX


DDoS 공격별 대응 방법 3.1 제품의 기본 특징

변조되지 않은 TCP SYN Flood-ing

○

변조되지 않은 TCP ACK/FIN/SYNACK/RST Flooding

○ ○

변조되지 않은 UDP Flooding ○ ○

변조되지 않은 ICMP Flooding ○ ○

변조된 TCP SYN Flooding ○

변조된 TCP ACK/FIN/SYNACK/RST Flooding

○

변조된 UDP Flooding ○ ○ ○

변조된 ICMP Flooding ○ ○ ○

변조되지 않은 Fragment 공격 ○

변조된 Fragment 공격 ○

변조된 / 변조되지 않은 Combine 공격

상위 항목 복합 적용 상위 항목 복합 적용 상위 항목 복합 적용 상위 항목 복합 적용

공격명 행위기반 정책 패턴기반 정책 Smart Session Shaping 시그네쳐 추출

3. Sniper DDX


Sniper DDX 특 장점∙ -1 3.2 특장점

각종 인증을 통해 증명된 안정성

수많은 네트워크보안 프로젝트 수행 경험과 다수의 개발방법론을 벤치마킹하여 국내환경에 적합하게 개발하여 활용

GS 인증 및 국정원 CC 인증 (EAL4) 을 획득한 신뢰성 / 안정성이 확보된 제품

CC 인증 (EAL4)CC 인증 (EAL4)

GS 인증GS 인증

3. Sniper DDX



“DDoS 탐지 및 차단 특허”

수많은 대형 SI 프로젝트 수행 경험과 다수의 개발방법론을 적용하여 개발한 특허

7/7 DDoS 대란 당시 방어 실적

공공 / 금융 / 민수 / 교육 분야 40 개 기관 긴급 대응

7/7 대란 DDoS 대응 관련 기사 14 개

신속한 패턴 제작 및 대응

CERT, 제작 , 기술지원의 유기적인 관계 뛰어난 조직력 2 시간 이내 조치 대응

7/7 DDoS 대란 방어를 통한 2009 하반기 히트상품 선정

2009 하반기 히트상품2009 하반기 히트상품

출처 : 아이티데일리 (2009.12)

3. Sniper DDX



고객사 맞춤 네트워크 구성 제공

In-Line 구성 또는 Out of Path 구성 제공 사용자 환경에 맞는 최적의 구성 네트워크 환경과 시스템 환경에 맞추어 Flexible 한 설치

Out of Path 구성Out of Path 구성In-Line 구성In-Line 구성

네트워크에 F/W, IPS 구성과 동일 라인 선상 즉각적 차단 가능

넷플로우 , 미러링 방식 통신사 , ISP 망 등 대형망에 적합

3. Sniper DDX



확장성

10G 솔루션 보유 10G 확장 가능 위협관리 솔루션 연동 가능 (SNIPER TMS 자사 솔루션 보유 )

관제솔루션 (TSMA) 연동 가능 (SNIPER TSMA 자사 솔루션 보유 )

3. Sniper DDX



이중화 구성

Fail Over

실시간 패킷 덤프

Active Standby Active Active

Symmetric Asymmetric

SNIPER DDX 는 안정적인 HA 기능 지원 네트워크 서비스의 연속성을 보장 Symmetric 구조와 Asymmetric 구조 , 동시 지원

Sniper DDX 정상 Sniper DDX 장애

DDX DDX

시스템 장애 시 서비스 단절을 최소화 신속한 자체 복구가 가능 안정적인 시스템 운영을 지원

이상 트래픽이 감지 될 경우 실시간으로 Packet 을 Dump 하여 , 트래픽 분석

3. Sniper DDX



다단계 방어 엔진

A.L.S.IEngine

SignatureExtraction

Engine

StaticAnomalyEngine

SignatureMatchingEngine

Triple SEngile

StaticDefenseEngine

DynamicFilteringEngine

Protocol Anomaly FilteringEngine

Protocol Anomaly Filtering En-gine

IP TCP UDP ICMP

Dynamic Filtering Engine

S-IP | D-IP | S-Port | D-Port

Static Defense Engine

S-IP | D-IP | S-Port | D-Port

Triple ‘S’ Engine

Ticket List

Signature Matching Engine

Signature

Statistics Analysis Engine

Traffic Anomaly

Signature Extraction Engine

Header | Widows | TTL | Payload

A.L.S.I Engine

SESSION Table

각종프로토콜 규약 위반 탐지 및 차단

특정 IP + Port 를 기반으로 탐지 및 차단 실시간 리스트

차단 Time Slot 동적 할당

특정 IP + Port 를 기반으로 사용자 정의 등록 차단 기능

인증 / 비인증 사용자의 세션 감사를 통한 탐지 차단기능

비정상 Flag 의 탐지 차단기능

비정상 Payload 기반의 탐지 시그네이처 기반의 방어

CERT 를 통한 주기적 업데이 트

특정 프로토콜의 비정상적인 폭증 탐지 및 차단

특정 서비스의 비정상적인 폭 증 탐지 및 차단

비정상적으로 폭증하는 트래 픽을 분석하여 자동으로 탐지 시그네이처 생성 탐지 차단 기능 제공

Layer 7 기반의 탐지 차단엔진

IDS 형태의 별도 탐지 장비로

사용가능

3. Sniper DDX


Sniper DDX 화면 -1 3.3 제품의 GUI

장비 모니터링장비 모니터링

장비정보 트래픽 세션정보 탐지 / 방어 /

경보 차단

실시간 모니터 메뉴실시간 모니터 메뉴

FAN 정보 POWER 정보 시스템 정보 LINK 정보 확인

3. Sniper DDX



세션 정보 모니터세션 정보 모니터

실시간 트래픽량 분석을 통해 , DDoS 트래픽이 튀는 현상 및 접속 세션을 실시간으로 분석 가능 . 보호 서비스망에 따라 각각의 CPS 을 확인 가능 , 비인증 된 DDoS 공격 량을 실시간으로 확인 .

3. Sniper DDX



세션 내역 및 추이세션 내역 및 추이

실시간 Session 정보 제공 , 실시간 트래픽 정보 제공 , 사용자 , 서비스별 상세내역 제공 과다 Session IP 및 Port 사용자 탐색 가능 네트워크 지장을 줄 수 있는 Traffic 사용자 확인

3. Sniper DDX



탐지 내역탐지 내역

탐지 / 방어 / 경보를 통해서 현재 들어오고 있는 공격의 형태들을 확인 실시간 정책적용 기능을 통하여 즉각적인 대응

3. Sniper DDX



종합보고서종합보고서

월 / 일 / 시간별 탐지로그 제공 / 월 / 일 / 시간별 트래픽 로그 제공 / 상세필터 제공 Main 화면의 CPS 의 정보를 분 단위 로그로 남겨 , 비정상 CPS 또는 정상 CPS 의 분석 용이 .

3. Sniper DDX


Sniper DDX 주요기능 -1 3.4 제품의 기능3. Sniper DDX

TCP/UDP/ICMP 등 공격 종류에 따른 탐지 정책 설정 후 탐지 / 방어

임계치 설정으로 보호대상 서버의 환경에 따라 정교한 정책 설정이 가능함

사용자별 맞춤 임계치 설정

공격 인정 횟수 설정공격 인정 횟수 설정

공격별 탐지 방어 설정공격별 탐지 방어 설정


3.4 제품의 기능3. Sniper DDX

비정상 트래픽 발생 시 자동패킷 캡쳐 기능 제공비정상 트래픽 발생 시 자동패킷 캡쳐 기능 제공

Sniper DDX 는 자동 / 수동 임계치 초과시 자동으로 Packet Dump 기능 제공 Capture 된 Packet 을 통해 Packet 분석 Tool 를 이용하여 관리자의 상세분석 지원

Sniper DDX 주요기능 -2


3.4 제품의 기능3. Sniper DDXSniper DDX 주요기능 -3

시그니쳐 기반 정책의 자동 임계치 설정

1 주일간 학습 및 탐지

학습된 이벤트 와 관련된 IP 에 대해 검증 작업 진행

해당 IP 중 주요 고객 IP 및 정상 접속 사용자에 대해 예외 처리 학습 진행

차단 가능성이 있는 정상 모든 접속 IP 사전 추출

정상 사용자에 대해 예외처리 또는 임계치를 정밀하게 적용 서비스 보장

Smart Session Shap-ing

세션 기반 임계치 설정

자동 임계치 설정에 의한 정책 적용

1 일 학습 후 정책 검증 및 적용 완료

급격한 트래픽 상황 변화 ( 월말 / 월초 , 연말정산 기간 ) 에도 적용 가능함

Auto Signature 기반 임계치 설정

자동 임계치 설정에 의한 정책 적용

1 주일간 탐지모드 설정 후 정상 트래픽 상황에서 탐지

설정 대상 임계치 설정 기준 및 방법


3.4 제품의 기능3. Sniper DDXSniper DDX 주요기능 -4

윈스테크넷 취약성 DB 활용윈스테크넷 취약성 DB 활용

윈스테크넷 내 CERT( 침해사고대응팀 ) 상시 취약성 분석 및 DB 구축 SNIPER DDX 사용자에게 SECURECAST 서비스 GENERAL 등급 무상 제공

WinsTechnet CERT 는 10 년이상 축적된 취약성 정보와 분석노하우를 바탕으로 신속하고 정밀한 시그니쳐를 제품에 적용하고 있습니다


3.5 도입 사례3. Sniper DDXSniper DDX 도입현황

공공기관공공기관 통신 / 금융 / 일반기업통신 / 금융 / 일반기업


3.5 도입 사례3. Sniper DDXSniper DDX 도입사례 -KISA

1) 사내 정보인프라 시스템에 접근하기 전에 사전에 자동으로 능동적으로 DDoS 공격을 차단

2) 축적된 DDoS 공격 탐지 Log 는 관제의 효율성 및 ROI 효과를 위해 DDX Manager

인 중앙관리시스템으로 연동되어 DDoS

공격에 대한 중앙관제가능

3) Manager 인 중앙관리시스템으로 연동되어 DDoS 공격에 대한 중앙관제

4) 관제의 생산성 및 ROI 효과 증진

구조분석구조분석


3.5 도입 사례3. Sniper DDXSniper DDX 도입사례 - 국내 H 사

구조분석구조분석

1) 예하지점별 안정성 확보 예하지점 내부망에 대한 안정성확보 예하지점별 구성으로 해킹사고시 대상범위 축소

2) 핵심업무서비스 ZONE 보안성 강화 업무서비스 ZONE 내부 / 외부에서 해킹사고 발생시 완전차단 예하지점에 대한 서비스 가용성 보장

3) 망통신망의 서비스 신뢰성 향상

4) ISAC 연계로 통합보안관리


3.6 기대효과 및 Line-UpSniper DDX 구축 후 기대효과

최고 수준의 보안체계 구축

금전을 목적으로 한 해커의 랜섬 (Ramsom) 형 공격에 대응 체계 프로세스 정립 가능 기 ) 운영중인 정보보호제품과의 다중 보호체계 구성으로 보안강화에 시너지 효과 창출

1

2

33

44

대 고객서비스 신뢰성 향상 안전한 고객 서비스 거래 유지 네트워크 가용성 확보 분산서비스거부 (DDoS) 로 인한 네트워크 망의 장애 사전 제거

최신 기술의 방어 능력 보유 인프라 보호 우의 선점 최신 보안기술의 적용을 통한 보안체계 강화

시스템의 안정성과 신뢰성 제고 네트워크 망 운영에 피해가 없는 시스템 구축 가용성 확보로 서비스의 연속성 확보

3. Sniper DDX


3.6 기대효과 및 Line-Up3. Sniper DDXLine-Up

In-Line DDX 1000 DDX 2000 DDX 4000 DDX 5000

Performance Throughput 400Mbps 2Gbps 4Gbps 12Gbps

System Rack Size 2U 2U 3U 4.5U

CPUIntel Xeon

Quad Core 2.0 x 1Intel Xeon

Quad Core 2.0 x 2Intel Xeon

Quad core 3.0 x 2Intel Xeon

Quad Core 2.66 * 2 HDD S-ATA2 500GB S-ATA2 500GB S-ATA2 1TB * 2 S-ATA2 1TB * 2

Memory 2GB 4GB 8GB 12GB DOM 1GB 1GB 1GB 1GB OS Embedded OS Embedded OS Embedded OS Embedded OS

Interface

Monitoring ( 패킷수집 )Copper 100/1000 * 2

orFiber * 2

Copper 100/1000 * 4or

Fiber * 4

Copper 100/1000 * 4or

Fiber * 4Max Fiber 10G * 4

Management Copper 100/1000 * 2 Copper 100/1000 * 2 Copper 100/1000 * 2 Copper 100/1000 * 2 Serial RJ45 * 1 RJ45 * 1 RJ45 * 1 RS232 * 1 USB * 2 * 2 * 2 * 4

Etc. Redundant Power/FAN ○ ○ ○ ○

Failure Detection (FAN/POWER) ○ ○ ○ ○ Dimensions (mmW x mmD x mmH) 430 x 427 x 88 430 x 427 x 88 432 x 431 x 134 430 x 512 x 200

무게 14.5Kg 14.5Kg 18.95Kg 26Kg

전압 100/240V 47/63Hz 100/240V 47/63Hz 100/240V 60/50Hz 100-240V 47/63Hz

최대소비전력 460W, 8A~4A 460W, 8A~4A 650W, 9-5A 1350W, 20~10A

동작환경 5℃ to 35℃ 5℃ to 35℃ 5℃ to 35℃ 5℃ to 35℃

INDEX

Chapter 1


Chapter 2


Chapter 3

•제품 소개

Chapter 4

•별첨


4. 별첨DDoS 엔진 방식별 분류

1. NBA (Network Behavior

Algorithm)

Network 흐름을 학습하여 세부적인 Rate 값을 적용하여 서버 및 서비스를 보호하는 방식 관련제품 : 현 시판되는 대부분의 제품 (In-Line 제품 , Out-Of-Path) 주요 특징 : “NBA 방식의 DDoS 대응장비가 시장 평정”

2. MBA (Micro Behavior

Algorithm)

Packet 단위의 미세한 움직임을 모니터링 하여 공격 Packet 과 정상 Packet 구분하는 방식 관련제품 : Rio-Ray 제품 주요 특징 : DDoS Attack 탐지율이 떨어짐

3. Pattern Mapping

알려져 있는 공격 Code 값을 가지고 지나가는 Packet 의 Payload 부분과 대조하여 탐지하는 기법 관련제품 : IPS 제품 주요 특징 : Source IP Spoofing 공격 대응 불가

4. Syn Proxy 방식

Proxy 서버처럼 모든 Traffic 을 중간에서 확인하고 연결하는 방식 관련제품 : 라드웨어 , 인트루가드 , IntelliGuard 등 주요 특징 : 대용량 Traffic 처리에 부적합 , 200 ~ 300 Mbps 환경에 적합


4. 별첨주요 제품 비교

구 분 SNIPER DDX 국산 A 사 외산 B 사

구성방식 In-line 또는 Out-Of-Path In-line 또는 Out-Of-Path In-Line

인증 EAL 4 CC 인증 회득 ( 국내 최초 )

GS 인증 인증 없음 인증 없음

L4 공격 방어 시그네쳐 + 행위기반 (NBA) 시그네쳐 + 행위기반 (NBA) 패킷기반

L7 공격 방어 시그네쳐 + 행위기반 (NBA) 행위기반 △

위협관리시스템 ( TMS )

보유 여부 보유 미보유 미보유

10G 보유 보유 10G UTM 보유 미보유

침해사고대응팀 보유 보유 보유 미보유

IPS 시그네쳐 보유 여부 보유 미보유 보유

기반기술 NBA + IPS NBA MBA

지난 2009 7.7 사이버테러와 같이 변종 DDoS 공격 발생 시 제조사별 패킷 분석 후 시그네쳐를 제작하여 해당 장비에 신속히 적용하여야 방어가 가능합니다 .

윈스테크넷은 순수 국내 기술의 제조사로서 기술지원 + 연구소 + CERT + 마케팅의 신속한 협업력과 조직력으로 고객사의 정보보안을 위하여 최선을 다하겠습니다 .

?경기도 성남시 분당구 삼평동 633 판교세븐벤처밸리 1 동 4 층 , 7층URL. www.wins21.co.kr E-Mail. [email protected]

http://www.wins21.co.kr/

Documents

DDoS 전용 대응장비