RIOREY DDOS 공격 방어 솔루션 The DDOS Specialist 작성일 : 2008/05/15 담당 : 신 상 윤 TEL :010-4842-9153 Mail: dhoon@adminmate.co.kr

요즘 10G 이상 공격이 보통이라던데 구입하고 싶은데 너무 비쌉니다 정상트래픽 은 서비스가 가능 한가요? DDOS 요즘 10G 이상 공격이 보통이라던데 구입하고 싶은데 너무 비쌉니다 정상트래픽 은 서비스가 가능 한가요? 는 가능 합니다

RIOREY DDOS 방어시스템 주요 특징 가격대비 최고의 성능 Good Traffic Bypass Packet 단위 마이크로 행태 분석(네트워크 트래픽 분석 안함) RioRey의 알고리즘은 모든 공격들을 정확히 인증 Hardware Bypass 기능을 포함 Max Performance 16G ~ 32G 로 높은 성능을 제공 rView Management로 NETWORK 트래픽 & DDoS Attacks에 대한 상세 통계 기록 제공 네트웍 안정성을 위한 전모델 탭 구성이 가능

AGENDA DDOS 현황 RIOREY DDOS 솔루션 RIOREY M.B.A 알고리즘 RIOREY 특징 RIOREY rView & rCare

1. DDOS 현황 Dos, DDOS 차이점 DDOS 공격 형태 DDOS 특징 기존 보안장비의 한계점 DDOS 시스템 요구사항

DOS, DDOS 차이점 DoS DDoS 6

DDOS 공격 형태 ●대역폭 공격(Bandwidth Attacks): -정상적으로 보이는 엄청난 양의 TCP, UDP, ICMP Packet 들을 특정한 목적지로 전송 Ex) Packet Over Floorer Attack ●애플리케이션 공격(Application Attacks): 특정한 반응이 일어나는 요청 Packet 을 발송하여 해당 시스템의 연산처리 리소스를 소진 Ex)HTTP half-open attack, HTTP Session attack 7

DDOS 공격특징 ① 루트 권한을 획득하는 공격이 아니다.   ① 루트 권한을 획득하는 공격이 아니다.   ② 데이터를 파괴, 변조하거나, 훔쳐가는 것을 목적으로 하는 공격이 아니다.   ③ 공격의 원인이나 공격자를 추적하기 힘들다.   ④ 공격 시 차단하기 어렵다.   ⑤ 매우 다양한 공격 방법들이 가능하다.   ⑥ 다른 공격을 위한 사전 공격으로 이용될 수 있다.   ⑦ 사용자의 실수로 발생할 수도 있다.    8

기존 보안장비의 한계점 ●블랙홀링(BlackHoling): ●침입 탐지, 방지 시스템(IDS, IPS): Traffic 을 일종의 폐기장소로 보내서 소멸시키는 방법 정상적인 Packet 들도 소멸된다. ●라우터(Router) 필터링 기법: ACL(Access Control List)을 이용한 필터링 기능 서비스 Protocol 필터링 불가 IP Spoofing 공격에 대한 한계 Application Layer 공격에 대한 한계 ●방화벽(Firewall): 대용량 Traffic 처리의 한계로 인한 방화벽 자체 Down Web, DNS 등 일반적 서비스 Protocol 에 대한 방어 불가 Spoofing Packet 공격에 대한 취약점 ●침입 탐지, 방지 시스템(IDS, IPS): 전문가의 세밀한 설정이 필요 빈번한 오탐 문제 패턴 매칭 방식의 검사 ●매뉴얼 반응(Manual response): 관리자가 직접 수작업을 통해 방어 즉각적인 대응이 어렵다 변조된 Packet 에 대한 검증 불가 9

DDOS 시스템 요구 사항 정상 DDoS 장비의 오탐으로 서비스 장애 유발 가능성 Traffic 보장 ☞ Attack Packet 차단, 정상 Traffic 보장 자동화 시스템, 네트워크, 보호대상 변경 시 자동화된 대응  Base Line 설정 없이 실시간 자동 대응 다양성 Source IP Spoofing 에 대한 대응 다양하고 복합적으로 발생되는 공격에 대한 대응 안정성 보안장비 운영으로 망의 Packet Latency를 고려.  성능 지연 제거 보안장비의 장애로 인한 망 장애 요소 제거  이중화, bypass 내장 10

2. RIOREY DDOS 솔루션 RIOREY Over view The DDOS Challenge RIOREY benefit High Availability By Design

특허 출원 기술인 RIOREY 의 DDOS 전용 Platform!!!! RIOREY Over view 특허 출원 기술인 RIOREY 의 DDOS 전용 Platform!!!! 분산 서비스 거부공격(DDOS)으로부터의 피해 차단 공격 발생시에도 고객의 네트워크는 서비스 손실 없이 안전한 운영 12

The DDOS Challenge RIOREY 는 DDoS의 주요 발생지에 Focus를 맞추어, Traffic RioRey Filter RioRey Filter Intrusion Traffic Normal Traffic Normal Under Attack Normal Under Attack Incoming Bandwidth Incoming IP Address Space Incoming Bandwidth Incoming IP Address Space RIOREY 는 DDoS의 주요 발생지에 Focus를 맞추어, 공격의 모든 대역폭 및 IP 주소를 filter합니다 시스템 내에서 일반적인 처리 가능한 규모로 공격을 대폭 줄여줌 - 정상 Traffic은 보존하면서 대규모 공격 traffic 집중 처리 DDOS는 일반적으로 대규모 대역폭 공격을 보고 인식 합니다. 공격이 진행되는 동안 대량의 Botnet Source IP 공간으로 채워 집니다. 13

RIOREY Benefit 신속한 대응 관리의 편리성 세부적 대응 가격대비성능 빠른 구축시간 신속한 공격 탐지 및 차단 관리의 편리성 자동화된 Process – 운영에 대한 Training 과정 필요 없음 세부적 대응 공격 Traffic 만 차단 정상적인 Traffic 은 보호 가격대비성능 높은 성능과 저렴한 도입 비용을 통한 빠른 ROI 실현 빠른 구축시간 30분 이내 모든 구축 작업 완료 DDoS 방어를 위한 걸림돌은 또 있다. ISP와 IDC가 도입하기에는 결코 만만 치 않은 보안장비 가격이 바로 그것이 다. 현재 시장에서 1, 2위를 차지하고 있는 DDoS 전용 장비는 7천 만원을 호 가 한다. 또 일부 제품은 네트워크 변경 및 관리가 쉽지 않다는 단점이 있다. 소규모 ISP가 감당하기에는 부담스럽 다는 지적이다. (08.03.25 Inews.com 기사 일부) 14

High Availability By Design 전면 설치, RioRey RX 제품은 고 가용성 시스템으로 설계되었다. (>> 99.995%) Fiber 또는 Copper 연결에 유연한 통합 케이블 관리 Multiple watch dogs 을 통한 hardware ,software 고 가용성 점검 시스템 Failure 발생시 자동 restart Software failures 발생시 Factory Reset 을 통한 Default setup Recover 능력 (Bypass 동작 Network Traffic 끊기지 않음) 모든 장비의 하드웨어 Bypass 제공을 통한 System failure 시에도 안정적인 네트워크 연결 DDOS 전용 H/W, S/W 일체형 설계 전원, Power Supplies 이중화 및 hot swappable 기능 15

3. RIOREY M.B.A 알고리즘 (Micro-Behavioral Analysis) Detect Engine Protocol Conformance Engine Scan Identification Engine Application Conformance Engine

RIOREY Detect Engine Syntax 검사- HTTP요청의 잘못된 syntax 검사 Timing relationship – ICMP, UDP 공격탐지,Packet 의 조밀도 및 분산 여부를 모니터링 Responsiveness - 정상적인 handshake 응답 과정을 모니터링, 결과값을 이용 IP Spoofing 공격을 판단 하는데 가중치 로 사용. Address & Data randomness –정상 Data 와 유해 Data 의 철저한 연구 ,spoofed 공격을 확인하는 데에 매우 효과적.   Victim 응답 pattern – Victim’s 의 응답 패턴을 관찰, 만일 응답 패턴이 유효 하면 계산된 결과를 Good Packet Traffic 정보에 적용. Scan Identi 엔진 Protocol Conform 엔진 Dynamic Filtering 엔진 Application Conform 엔진 17 17

Protocol Conformance Engine TCP traffic에 사용 전용 engine이 TCP handshakes를 모니터 하고 탐지 TCP streams의 변형된 자료 Sampling Sample engines - victim IP로 가는 모든 Traffic에 대해 집중적인 검사 정상 traffic통과, 공격 packet 차단 Protocol Conform Engine … Traffic TCP Port UDP Size ICMP Type IP Address 18

Scan Identification Engine Scan Identification 엔진은 random 한 IP 와 Port Scanner 를 탐지 하는데 사용됩니다. Scanner 엔진은 광범위하게 들어오는 IP address scan 이나 Port Address scan 에 빠르게 공격을 정의 합니다. scanner는 어떤 일이 발생하면 이를 System에 경보하고, 잠재하는 victim address와 ports에 ‘특별한 주의’ 적용합니다. Scan Identifi Engine … Traffic 19

Application Conformance Engine 다수의 Application 을 해석한 algorithms을 포함하고 있습니다. 이 알고리즘은 REOREY가 Application 행태를 분석하고 계획된 Application 대로 움직이지는 지를 추적합니다. Riorey 의 Application Lab 은 다양한 Application을 이해하고 Model 화 될 수 있도록 지속적으로 Test 하고 분석 합니다. Riorey 는 Application Level 에서 Good Traffic 을 보장하기 위해 많은 Test를 지속적으로 수행 하고 있습니다. Test 한 결과를 통해 다양한 Application 의 정상 연결 Session 과 불량 Session 을 식별하는데 중요한 자료로 사용 됩니다. App Conform Engine … Traffic 20

4. RIOREY 특징 정상 Traffics 보장 자동 실행 신속한 대응 시간 다양한 Product Series

RIOREY 정상 Traffic 보장 RIOREY DDOS 솔루션이 네트워크 상에서 11/15/2018 RIOREY 정상 Traffic 보장 RIOREY DDOS 솔루션이 네트워크 상에서 여러 주요 공격들(개별 초당 200,000 이상의 packets)을 을 성공적으로 방어하면서 동시에 99.9946% 의 정상 traffic을 제공합니다. 이는 모두 자동으로 진행 되었습니다. 보안장비가 good traffic을 drop시킬 경우, 고객의 안전한 정보 보호를 위한 보안솔루션 구축 의미가 없어지기에 Good traffic 보호는 매우 중요합니다. Attack Traffic Filtering Traffic 22

RIOREY 자동실행 With RIOREY DDOS 는 복합적인 문제이며, 방어를 위해 많은 노동을 필요로 합니다. 11/15/2018 RIOREY 자동실행 DDOS 는 복합적인 문제이며, 방어를 위해 많은 노동을 필요로 합니다. 대부분의 DDOS 방어는 몇 가지 단계의 수작업을 통한 제어를 필요로 합니다. 타 솔루션의 경우 다른 DDOS 알고리즘에서 "training“이나 "base lining"을 위해 사용자는 가능한 공격 Packet의 list를 제공받아야 하며, 이것이 공격이든 아니든, 사용자는 솔루션은 연산하고 처리할 것임을 의미 합니다. 이는 유해 traffic에서 정상 traffic을 분별해내지 못하도록 하며, 이 Process는 user server나 애플리케이션에 추가/이동/변경이 있을 때 마다 지속적으로 사용자 입력을 필요로 합니다. With RIOREY 모든 대응이 자동으로 진행 됩니다. 23

RIOREY 신속한 대응 시간 With RIOREY 모든 DDOS filtering 제품은 신속한 대응 시간을 필요로 합니다. 11/15/2018 RIOREY 신속한 대응 시간 모든 DDOS filtering 제품은 신속한 대응 시간을 필요로 합니다. 타 솔루션 대부분의 제품들을 보면, 사용자가 제품에 대해 training 과정을 거친 후, 어느 정도 공격 탐지가 가능하였으며, 이는 신속하다고 할 수 없습니다. With RIOREY 솔루션 실행에 대한 어떤 트레이닝 및 수작업을 필요하지 않습니다. 실제 상황에서 RIOREY DDOS 솔루션의 가장 큰 장점은 어떠한 서비스 및 네트워크 환경에서도 90초 이내 반응하고 대응한다는 것입니다. RIOREY 는 최소 100,000 개 이상의 동시 공격 및 모든 종류의 혼합된 공격, 그리고 최소 100개의 동시 Victim에 대해서 이와 같은 수준의 보안을 제공 합니다. RioRey Product Comparison Presentation 24

RIOREY 다양한 Product Series 11/15/2018 RIOREY 다양한 Product Series RE500 Series RX1200B RX2300U RX2300B RX3300U 탐지 Interface 1EA 2EA Media Type Copper SX/LC, LX/LC 내장 Bypass YES Throughput 400M 1G 2G 3G MAX Performances 16G 32G DDOS Filtering ICMP, UDP, TCP-SYN, TCP-SYN-ACK,TCP-ACK, TCP-Session, HTTP, P2P, DOS, SYN Flooding, ACK+ Large Data (5월 Version UP 추가) Random/forged IP Address Attacks, network scans & port scans 암호화된 Traffic 처리 복합공격처리 : Smurf, Ping Floods, Fraggle, Evasive UDP, UDP scans Pulsing zombie, Tribe Flood network(TFN), TFN2K, Stacheldraht, 외 Simultaneous Connections Unlimited Typical Latency <70 Microsecond 25

5. RIOREY rView & rCare rVIEW rCARE 주요 References

RVIEW – RIOREY Management & Monitoring tool The real time Graphical User Interface 공격 traffic 모니터, 알람 통보, traffic 요약, victim 과 attack list를 제공합니다. 27 27

RVIEW – Attack History 28 전체 Traffic 공격 현황 Protocol 별 공격 내용 Attack Level 표기 위험 수위 표기 Attack 현황 Attack 관련 세부적인 내용을 보여 줍니다. 28 28

RVIEW – Operation Mode 29 운영 Mode Filter : 탐지된 공격을 차단 Monitor : 공격 탐지, 차단 하지 않음 S/W Bypass : 탐지 및 차단 하지 않음 29 29

rCARE – RIOREY DDOS Analysis Tool 공격에 대한 세부 정보를 제공하는 web tool 공격 통계치 분석 공격 근원지 시각화 기록된 data와 공격 비교 rCare는 장시간에 걸쳐 DDOS공격이 어떻게 전개되는지 보여주며 고객이 미래 공격에 대비하여 네트워크를 보다 잘 준비할 수 있도록 정보를 제공합니다. 30

RIOREY 주요 References Satellite Provider 미국 내 가장 큰 위성 공급자 (One of the largest Satellite Providers in the US) SES Americom IT Services / Consulting 대규모의 IT services / Consulting 다국적 기업. Satyam Security Services Group 대규모 다국적 기업. Mahindra SSG Web Hosting / Collocation / Server Hosting, Chicago 전세계 가장 안전한 digital 유통/거래를 위해 RioRey 구축 Steadfast networks Digital Currency Transaction Processing , Canada 전세계 가장 안전한 digital 유통 거래를 위해 RioRey 구축 Creditz ISP , Tennessee :응급 911 서비스를 가동하는 Internet service 공급자 고객에게 Premium service에 대한 추가요금을 부과하고 새로운 수입의 흐름 생성시키기 위해 RioRey 구축 Dolphin networks

피해 사례 박현정 기자 saram@hani.co.kr 기사등록 : 2008-03-31 오후 07:24:17

피해 사례 최현철 기자 [chdck@joongang.co.kr] 2008.03.22 01:44 입력

회사소개 콤우 는 좋은 솔루션(서비스) 을 가진 회사와 이를 필요로 하는 (잘 사용하여 도움이 될 수 있는) 회사와의 가교 역할 을 하는 마케팅 전문가 회사 입니다. 파트너사 : 네이트 / 다음 / 야후 / 엠파스 / 현대정보기술 / 베니트 탭스랩 / 닥터소프트 / 바이펄스네트웍스 / 삼부시스템 / 가디움 / ORION / 텔로드 회사명 : ㈜콤우시스템 ( ) 주소 : 서울시 구로구 오류동 46-1 A302 이사 : 신상윤 Mobile : 010-4842-9153 Tel : 02-553-5929 Mail : dhoon@adminmate.co.kr http://www.adminmate.co.kr / http://www.guardium.co.kr / http://www.adminmate.com / http://ddos.tistory.com 주요 취급 제품 Adminmate2.0 총판 포토서버X,포토익스플로러 넷클리닉, 넷클라이언트, 인사이터 로그로직, ORION CEP 총판 마에스트로, 오로라 가디움 SQL가드 (DB접근제어) 리오레이 (Riorey)

T h a n k Y o u