DDoS 공격과 방어의 패러다임 변화DDoS(Distributed Denial Of Service) 공격은 기업의 IT 인프라를 위협하는 강력한 공격 수단이 되고 있습니다. 초기 DDoS 공격은 자기 과시를 위

해 이루어졌으나 점차 금전적 이익을 노리는 형태로 변화하고 있습니다. 공격 목표 또한 중소 규모의 인터넷 업체에서 대형 인터넷 서비스 업체, 금융

기관, 포털, 게임 업체 등 대상을 가리지 않고 무차별적으로 감행되고 있습니다. 특히, 7ㆍ7 DDoS 대란에서 볼 수 있듯이 대량의 좀비 PC를 이용한 지

능적인 공격이 시도되고 있어, DDoS 방어에 어려움이 예상됩니다.

DDoS 방어 기술, 경험, 전문가의 결합, AhnLab TrusGuard DPX안철수연구소 트러스가드 DPX (DDoS Prevention eXpress) 는 DDoS 공격 방어를 위한 보안 기술과 안철수연구소의 인프라가 결함된 새로운 DDoS

공격 방어 전용 제품입니다. 이 제품은 다단계 필터 구조와 자동 학습 정책을 이용하여 오탐이 최소화된 탁월한 DDoS 공격 방어 기능을 제공합니다.

또한 안철수연구소의 악성 코드 분석 시스템과 연동하여 빠른 DDoS 공격 대응 프로세스를 제공합니다. 또한 인라인 구성 방식 뿐만 아니라 아웃 오

브 패스 구성 방식도 제공하여 다양한 네트워크 환경에 적합한 구성 방식을 제공합니다.

DDoS 방어에도 역시 안철수연구소지난 2009년 7월 7일 한국과 미국의 주요 기관을 타깃으로 한 DDoS 공격이 발생했습니다. 안철수연구소는 DDoS 공격 발생 후 즉시 분석 작업을 진

행해 전용 백신을 배포했습니다. 또한 세계 최초로 공격 스케줄러를 확인했으며, 좀비 PC 하드디스크 및 데이터 파괴 등을 예고했습니다. 이를 통해 공

격 대상 기관은 물론 좀비 PC로 이용된 PC의 피해를 최소화할 수 있었습니다. 이러한 일련의 과정을 통해 전세계가 안철수연구소의 빠른 대응에 놀

라고 기술력을 인정했습니다. 이처럼 신속한 대응이 가능했던 것은 20여 년간 보안에 전념해 온 안철수연구소의 기술, 전문가, 인프라, 대응 프로세스

가 결합되었기 때문입니다.

ACCESS 기반의 DDoS 방어 프로세스 제공트러스가드 DPX는 안철수연구소의 클라우드 보안 서비스 전략인 ACCESS(AhnLab Cloud Computing E-Security Service) 기반 하에 서비스가 제

공됩니다. 즉, 클라이언트 PC, 웹, 네트워크 레벨에서 감지되는 각종 위협 정보들이 안철수연구소의 종합 분석 시스템을 통해 취합되며, 대응 시그니

처 제작과 동시에 실시간으로 각 제품에 반영됩니다. 트러스가드 DPX도 이러한 프로세스가 적용되므로 다양한 신종 DDoS 공격 및 관련 악성코드를

더욱 효과적이고 빠르게 차단할 수 있습니다.

DDoS 방어 기술, 경험, 전문가의 결합 AhnLab TrusGuard DPX 세상에서 가장 안전한 이름 안철수연구소

[DDoS 공격의 변화]

[7ㆍ7 DDoS 공격 흐름 및 안철수연구소 대응 과정]

[ 트러스가드 DPX 구성 방식 ]

[ACCESS 기반의 DDoS 방어 프로세스 제공하는 트러스가드 DPX]

TrusGuard DPX TrusGuard DPX

TrusGuard DPXOut-of-Path 차단전용

TrusGuard DPXOut-of-Path 탐지전용

[ 인라인 방식 ] [ 아웃 오브 패스 방식 ]

안철수연구소만의 특별한 DDoS 방어 프로세스현재의 DDoS 공격은 단순 제품으로만 방어할 수 있는 수준이 아닙니다. 안철수연구소는 7ㆍ7 DDoS 대란 당시 보여주었듯이 전방위적인 방어 프로세

스를 제공합니다. 공격이 발생하면 우선 DDoS 전용 장비가 이를 감지하고 방어합니다. 동시에 보안 전문가 조직인 ASEC에서 공격에 대한 분석을 시

작하고 이를 기반으로 효과적인 대응 방안을 제시합니다. 이와 함께 보안 관제 서비스를 통해 보안 및 네트워크 장비를 효율적으로 운영해 DDoS 공

격에서도 고객의 시스템이 안정적으로 운영될 수 있게 해 줍니다. 이후 보안 컨설팅을 통해 고객의 보안 취약점을 점검, 대안 제시는 물론 DDoS 모의

공격 훈련 서비스 등을 통해 DDoS 공격으로 안전한 비즈니스 환경을 조성해 드립니다.

DDoS 방어 전용 장비 트러스가드 DPXDDoS 방어 전용 장비인 트러스가드 DPX는 안철수연구소의 10여 년 동안 축적해 온 네트워크 보안 기술을 바탕으로 개발되었

습니다. 국제 특허 출원한 자체 DDoS 공격 방어 전용 엔진은 물론 최근 특허를 획득한 ‘클라우드 컴퓨팅을 이용한 DDoS 공격 탐

지 및 차단 방법 및 서버’ 기술을 적용해 더욱 강력한 DDoS 방어 능력을 발휘합니다.

글로벌 보안 위협 대응 조직 ASEC ASEC (AhnLab Security E-response Center)은 안철수연구소의 최고의 악성코드 분석가 및 보안전문가로 구성된 Global 보안

위협 대응조직입니다. ASEC은 24시간 동안 전세계에서 발생 하는 새로운 보안위협에 대해 모니터링과 분석 대응을 진행합니다.

DDoS 공격 발생시에도 공격을 분석하여, 안철수연구소의 모든 제품에 대응시그니처를 제공합니다.

국내 최고의 보안 관제 서비스안철수연구소는 국내 원격 관제 서비스 시장의 선두주자로서 오랜 비즈니스 노하우를 바탕으로 최고의 보안 관제 서비스를 제공

합니다. 이미 ISP/포털/대기업 등을 고객사로 확보함으로써 그 기술력과 노하우를 인정받고 있습니다. 현재 ▶DDoS 공격 대응의

운영 아웃소싱 서비스 ▶DDoS 공격 발생 시 긴급 대응 프로세스 ▶DDoS 공격 유형 분석 및 추가 공격 예방을 위한 사후 관리

조치 등의 DDoS 관련 서비스를 이용할 수 있습니다.

정보보호컨설팅전문업체의 수준 높은 보안 컨설팅안철수연구소는 최고의 기술력과 많은 컨설팅 프로젝트를 수행을 통해 검증 받은 정보보호컨설팅 전문업체입니다. 안철수연구소

의 DDoS와 관련된 보안 컨설팅 서비스로 ▶DDoS 공격 대응과 관련한 Network 및 시스템 취약점 진단 ▶DDoS 공격 대응의 운

영 프로세스 가이드라인 제시 ▶모의 공격을 통한 운영 프로세스의 점검 등을 제공합니다.

DDoS 방어의 종합 프로세스 제공, AhnLab TrusGuard DPX안철수연구소 트러스가드 DPX는 사전 예방에서 운영 프로세스까지 DDoS 공격 방어를 위한 토털 프로세스를 제공합니다. 지난 수년 간 축적해 온

DDoS 제품의 구축 및 운영의 노하우를 바탕으로 다양한 DDoS 공격 유형을 방어할 수 있도록 개발되었습니다. 특히,오탐 방지를 위한 세분화된 정책

과 좀비 PC 탐지 기술을 통해 공격 트래픽을 정확히 판단하여 정상 트래픽을 최대한 보장합니다. 또한 공격지와 비공격지 트래픽을 1차적으로 선별하

여 공격을 받지 않는 네트워크의 피해를 최소화하고 안정적으로 운영될 수 있도록 지원합니다.

아울러 트러스가드 DPX는 DDoS에 특화된 사전 컨설팅, 모의 공력 훈련, 보안 관제 등 다양한 서비스와 결합해 DDoS 공격 방어를 위한 차별화된 프

로세스를 선보입니다.

공격 방어 가능 List

구분 공격명 차단여부

패킷 TCP

Syn Flood O

Syn-Ack Flood O

Ack Flood O

Push-Ack Flood O

Fin/Fin-Ack Flood O

Rst/Rst-Ack Flood O

Urg Flood O

Xmas Flood O

TCP Fragmentation O

세션 기반 TCP

TCP Flood O

TCP Multi-Connection O

TCP Establised Attack O

UDPUDP Flooding O

UDP Fragmentation O

ICMPICMP Flooding O

ICMP Fragmentation O

HTTP DDoS Attack

HTTP Get Flood O

HTTP Null Page Flood O

HTTP CC Attack O

HTTP Slow Attack O

H/W Specification

구분 TrusGuard DPX 2000 TrusGuard DPX 6000

표준 제안 성능 2Gbps 6Gbps

최대 장비 성능 4Gbps 10Gbps

CPU 전용 멀티 코어 전용 멀티 코어

Memory 2GB or 4GB 4GB or 8GB(최대 16GB)

Flash Disk 2GB 이상 2GB 이상

OS 자체 OS 자체 OS

전원 이중화 / FAN 이중화 O / O O / O

Interface

Mgmt Port 1EA 2EA

1G Copper 4EA -

1G Fiber (SFP) 4EA 4EA (최대 6EA)

10G (SFP+) - 최대 6EA

Bypass 내장 O O

인증CC인증 O O

별도 지정 등록 O O

DDoS 방어 기술, 경험, 전문가의 결합 AhnLab TrusGuard DPX 세상에서 가장 안전한 이름 안철수연구소

Take 1

Take 3

Take 2

Take 4

DDoS 방어 전용 장비

보안 관제 서비스 보안 컨설팅

시큐리티대응센터(ASEC)

악성코드 분석 정보

강력한 DDoS 방어력

오탐 최소화

DDoS 구축 노하우 공격 방어 권고

운영 프로세스 공격 예상 시나리오

긴급 대응 프로세스 검증 및 권고

보안 관제 서비스 좀비 PC

실시간 모니터링 DDoS

신종 HTTP 공격 방어와 오탐 최소화 기능 제공, AhnLab TrusGuard DPX TrusGuard DPX 는 TCP 세션 요청과 HTTP 요청의 정상적인 요청과 비정상적인 요청을 판단할 수 있는 자체 기능을 제공합니다. 이를 통

하여 기존의 임계치 방식만으로는 대응이 불가능한 대규모로 분산된 소규모 정밀 타격형 신종 HTTP 공격에 대한 강력한 방어를 제공합니

다. 또한 세분화된 정책별로 정상적으로 트래픽을 많이 발생시키는 출발지 IP 별 임계치를 자동으로 산출하여 DDoS 공격 방어 시 오탐을

최소화 합니다.

트러스가드 DPX는 스마트폰, 태블릿PC등 주요 모바일

기기에서의 모니터링 기능을 지원, DDoS 공격 상황을

실시간으로 확인 할 수 있습니다. 특히 각 필터별 공

격 방어 상태를 직관적인 모니터링 UI(User Interface)

로 제공함으로써 관리자가 DDoS 공격 방어 현황을 손

쉽게 파악할 수 있습니다. 즉, 필터 별로 해당 트래픽이

사용되지 않을 경우는 회색, 해당 트래픽 사용되긴 하

지만 위험 요소가 없는 정상 트래픽일 경우에는 녹색

으로 표시됩니다. 또한 공격이 발생했을 경우 위험 정

도와 방어 행위에 따라 주황색과 붉은색으로 경고표시

가 나타나게 됩니다.

각 업체별 DDoS 전용 장비 기능 비교

모바일 UI 지원, AhnLab TrusGuard DPX

※ 각 업체별 2Gbps 장비의 기능 비교 자료임.

TCP Syn Flooding 공격 방어(Spoofed IP 구별)

HTTP Get FloodingHTTP Nothing Flooding

HTTP CC Attack(정상 HTTP Request 구별)

정상적인 TCP Session Request 확인

학습된 각 별 Source IP 임계치 차등 적용

#1 정상적인 TCP Session Open 여부 확인

#2 정상적인 HTTP Session Request 여부 확인

SrcIP #1 → Target #1

SrcIP #2 → Target #2

SrcIP #N → Target #1 & Target #2

#3 정상적인 HTTP Get Request 여부 확인

Target #1Default : 150 ppsSrcIP #1 : 3,000 pps…SrcIP #N : 180 pps

Default : 150 ppsSrcIP #1 : 3,000 pps…SrcIP #N : 180 pps

Target #2

대규모 Traffic 방어

소량 정밀 타격 방어

신규 공격 툴 대응

구 분 AhnLab A사 B사 C사 D사 E사 F사

성능

Datasheet 성능 수치 2Gbps 2Gbps 2Gbps 2Gbps 1.4Gbps 1Gbps 1Gbps

단일 인터페이스 기준 단방향 PPS 성능 (64 Byte 1Gbps 100% 기준)

1.48Mpps (100%)

1.48Mpps (100%)

1Mpps 이하 (70% 이하)

1.48Mpps (100%)

0.6Mpps (50% 이하)

1Mpps 이하 (70% 이하)

1.2Mpps (85%)

Interface

1G Copper수량 4EA - - 2EA 2EA 12EA 제한 없음

Internal Bypass 내장 여부 O - - O O O X

1G Fiber수량 4EA 4EA 4EA 2EA 2EA 4EA 제한 없음

Internal Bypass 내장 여부 O O O O O X X

Management Port 별도 제공 O O O O X O O

주요 기능

설치 형태Inline 및

Out-of-PathInline

Inline 및 Out-of-Path

Inline Inline InlineOut-of-

Path

DDoS 공격 탐지/방어 반응 시간 1초 이내 최대 1분 10초 이내 10초 이내 10초 이내 10초 이내최소

10초 이내

출발지 기준 임계치 기반 자동 학습 O X X X △ X O

출발지 기준 임계치 기반 공격 탐지 및 차단 O X X X △ X O

목적지 기준 임계치 기반 자동 학습 O O O O O O O

목적지 기준 임계치 기반 공격 탐지 및 차단 O O O O O O O

세션 기반 공격 탐지 및 차단 O O O O O O O

Signature 기반 공격 탐지 및 차단 O O O X X O X

Signature 자동 Update 제공 O X O X X O X

사용자 정의 Signature 생성 O X O X X O O

BotNet 탐지 및 방어 기능 O X △ X X O X

Blacklist 설정 가능 여부 O O O O O O O

Whitelist 설정 가능 여부 O O O O O O O

출발지 기준 Rate-Limit O O O O O O X

목적지 기준 Rate-Limit O O O O O O O

공격 트래픽

분석 기법

정상/비정상 Packet Header 분석 및 차단 O O O O O O O

정상/비정상 TCP 패킷 분석 및 차단 O O O O O O O

정상/비정상 TCP 요청 분석 및 차단 O △ X O O O O

정상/비정상 HTTP 요청 분석 및 차단 O △ X X X △ O

추가 연계 서비스

DDoS 사전 컨설팅 서비스 O X X X X X X

DDoS 모의 공격 대응 훈련 서비스 O X X X X X X

DDoS 보안 관제 서비스 O X O X X X O

인증별도지정 제품 등록 O O X X X X X

CC 인증 O O O X X X X

DDoS 방어 기술, 경험, 전문가의 결합 AhnLab TrusGuard DPX 세상에서 가장 안전한 이름 안철수연구소

고객의 안전을 한번 더 생각합니다.성공 비즈니스의 파트너, 안철수연구소

서울 영등포구 여의도동 12 CCMM빌딩 6층 150-869

홈페이지 : http://www.ahnlab.com

대표전화 : 02-2186-6000

전용 상담전화 : 02-2186-4800

팩스 : 02-2186-6100

Copyright(C) AhnLab, Inc. 2010-2011 . All Rights Reserved.본 간행물의 어떤 부분도 안철수연구소의 서면 동의 없이 복제, 복사, 검색시스템으로 저장 또는 전송될 수 없습니다. 안랩, 안랩로고 및 TrusGuard DPX 로고는 안철수연구소의 등록상표입니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의상표 또는 등록 상표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.

세상에서 가장 안전한 이름 안철수연구소