주)정보보호기술 3.4 DDoS 공격 대응과 향후 전망

Slides:



Advertisements
Similar presentations
1 08 시스템 구성도 고려사항 * 웹 서버 클러스터 구성  클러스터 구축은 ㈜ 클루닉스의 Encluster 로 구축 (KT 인증,IT 인증 획득, 실제 클러스터 구축 사이트 200 여곳 )  웹 서버 클러스터는 Dynamic, Static, Image.
Advertisements

Data Communication/Computer Network 관련 교과목의 내용
1)RACK 2)UPS 3)P D U 장치 4)Server Group 5)KVM Switch 7)UPS 를 위한 HUB 6) RACK Monitor.
불특정 공격에 무너진 H 사 업무 시스템 서서히 저하 내부에서 원인 불명으로 네트워크의 속도가 서서히 저하 되는 현상이 발생 공격의 발생 핵심 장 비 서비스가 되다 되지 않는 현상이 심해지고 결국 핵심 장 비는 장애가 발생하게 됨 장비 장애 발생 핵심 장비 장애 전체.
“ 모바일 클라우드 서비스 보안 침해 대응 방안 ” 분석 보고 서울과학기술대 산업대학원 컴퓨터공학과 박지수.
멀티미디어 서비스를 위한 IP 네트워크 순천향대학교 정보기술공학부 이 상 정
펌핑노드 성능평가 RTLAB 김병철 08/09/25.
Chapter 03. 네트워크 보안 : 길을 지배하려는 자에 대한 저항
Chapter 8 Authorization
온라인국민참여포탈 클러스터 시스템 구성 제안
1. Windows Server 2003의 역사 개인용 Windows의 발전 과정
Network Lab. Young-Chul Hwang
HeartBleed.
20 장 네트워크층 프로토콜 : ARP, IPv4, ICMP, IPv6, ICMPv6
PHP입문 Izayoi 김조흔.
Load Balancing L4와 L7은 어떻게 동작할까?.
Chapter 11 DoS와 DDoS 공격.
웹 프로토콜과 로그의 이해 ★ 웹 프로토콜 ★ 통신 절차 ★ HTTP Request ★ HTTP Response.
중소규모 WAN의 구성 지도교수님 : 김정배 교수님 박명윤 박종수.
VoIP (Voice Over Internet Protocol)
제 14장 Multicast & Broadcast
무선인터넷 보안기술 컴퓨터공학부 조한별.
양천구청 웹서비스 안정화 제안 LB 솔루션 작성일 : 2010/01/13 담당 : 신 상 윤 TEL :
DoS 발생시 정상 통신과 이상통신 구분 (2012 Code Gate Network 200)
침입탐지시스템과 정보보안 안
IP.
Chapter 21 Network Layer: ARP, ICMP (IGMP).
Network Management 김대환 김태훈 김숙흔 이근민.
Network Layer: ARP, ICMP (IGMP).
TCP/IP 응용 프로그램에 적용 가능한 다양한 소켓 옵션을 이해하고 활용한다.
모바일 자바 프로그래밍 JDBC / WAP Ps lab 오민경.
ARP Project 조 충 호 교수님 김 세 진 조교님 조 진 형 변 익 수
IPv 문은영 강유미 권혜숙 조경미.
GPRS(general Packet Radio System) 설명
DoS/DDoS의 공격유형과 유형별 방어 경북대학교 통신프로토콜 연구실 윤성식.
Malware (Sample) Static/Dynamic Analysis (no reversing)
Chapter 19 솔라리스 네트워크 관리 Solaris1 . TCP/IP 개요
UpToDate® Anywhere(UTDA)
네트워크와 소켓 프로그래밍 Chapter 01. * 학습목표 TCP/IP 프로토콜의 동작 원리를 개관 소켓의 기본 개념을 이해
OSI 모델 OSI 모델의 개념과 필요성 OSI 모델의 데이터 전송 과정 OSI 모델 7계층 한빛미디어(주)
소규모 IPTV 사업자용 실시간 미디어 플랫폼 기술
HTTP 프로토콜의 요청과 응답 동작을 이해한다. 서블릿 및 JSP 를 알아보고 역할을 이해한다.
OSI Reference Model.
Internet 데이터 전송 목표: 인터넷의 개요 및 기본 내용을 살펴보고 VB에서의 데이터 전송 프로그래밍에 대하여 학습한다. 주요내용 인터넷의 개요 인터넷 데이터 전송 인터넷 프로그래밍 Winsock Client Server 프로그래밍.
Chapter 04. OSI 참조 모델.
9 TCP의 이해 학습 목표 전송 계층 프로토콜이 제공하는 기능을 이해한다.
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
Overlay Multicast 김 종 완 김 성 현
-네트워크 관리 개요 및 SNMP 프로토콜 동작과정
(DDOS & Massive SQL Injection)
Packet sniffing 응용 레벨이 아닌 네트워크 디바이스 레벨에서의 데이타을 얻는 것 네트워크 상의 트래픽을 분석
김 형 진 전북대학교 IT응용시스템공학과 네트워크의 기본 Chapter 김 형 진 전북대학교 IT응용시스템공학과.
Firewall & N-IDS 김창현.
Chapter 26 IP over ATM.
10장 OSI 7 Layer 강원도립대학교 정보통신개론.
Chapter 27 Mobile IP.
통신프로토콜 전산정보학부 모바일인터넷과 권 춘 우
Part TCP / IP 1. TCP / IP 프로토콜 2. 기본 프로토콜.
7 IP 프로토콜의 이해 학습 목표 네트워크 계층의 필요성과 역할을 이해한다.
최종 사용자 관점의 웹 서비스 성능 관리 SmartSQM Agentless 실시간 전구간 성능 모니터링
웹 애플리케이션 보안 Trend 인포섹㈜ 신수정 상무
멀티미디어시스템 제 4 장. 멀티미디어 데이터베이스 정보환경 IT응용시스템공학과 김 형 진 교수.
5.2.3 교환방식의 비교 학습내용 교환방식의 비교.
UpToDate® Anywhere(UTDA)
4. IP 데이터그램과 라우팅 (6장. 인터넷과 IP) IP 데이터그램 : 특정 물리망에 종속되지 않은 가상의 패킷 형식.
7/25/2019 경계선 방어 기술 공급원 May
3. 윈도우 미디어 플레이어 6.4 옵션(환경) 설정 변경
ARP.
네트워크는 각종 공격들의 위협(Threat)을 받고 있다.
Presentation transcript:

주)정보보호기술 3.4 DDoS 공격 대응과 향후 전망 - 2011.4.22 - "The Worldwide Best in Threats Management" 3.4 DDoS 공격 대응과 향후 전망 - 2011.4.22 -

목차 3.4 DDoS 분석 및 대응 DDoS? Layer 7 DDoS Others DDoS Application DoS 대응 및 결론 2 / 27

목차 3.4 DDoS 분석 및 대응 3 / 27

기존 Cache-Control 관련 시그니처로 3월 3일 저녁 공격 징후 탐지 3.4 DDoS 대응 history 3.4 11:00 2차 보고서 작성 및 전달 네트워크 분석 및 시그니처 배포 네트워크 샘플 수집 3.4 10:00 C&C IP정보 배포 및 차단 사내 조사 및 대응방안 전달 3.4 9:00 오전 1차 보고서 작성 및 전달 3.3 18:00 기존 Cache-Control 관련 시그니처로 3월 3일 저녁 공격 징후 탐지 4 / 27

DDoS 패킷 분석 DDOS? GET 요청 시 URL은 / 만을 사용 5 / 27 HTTP Cache-Control 헤더를 사용하며 값으로는 no-store, must-revalidate 를 사용 (70%) Proxy-Connection 헤더의 값으로 Keep-Alive 를 사용 (100%) Accept 헤더와 User-Agent헤더의 변경 평균 4초 사이 간격으로 한번씩 요청 5 / 27

목차 DDoS? 6 / 27

DDOS (Distributed Denial of Service) Attack – 분산 서비스 거부 공격 봇 혹은 악의적인 여러 사용자에 의한 자원고갈, 세션고갈을 위한 대소량 트래픽 전송 공격 종류 : ICMP Flooding, UDP Flooding, TCP SYN Flooding, TCP Flag Flooding, Application Flooding (HTTP Get Flooding 등) 마비 명령하달 명령하달 마비 Internet 사용불능 악성코드유포 DDOS공격 악성코드감염 마비 7 / 27

세션 고갈 대역폭고갈 DDOS? DDoS 공격 종류 application Presentation Session HTTP GET Flooding RUDY XerXes slowloris Random Parameter DDoS 공격 종류 application Presentation Session Transport Network Datalink Physical 세션 고갈 IP/IGMP/ICMP Flooding UDP TCP 대역폭고갈 8 / 27

목차 Layer 7 DDoS 9 / 27

Layer 7 DDoS slowloris 끝나지 않은 HTTP 헤더로 인한 대기상태 공격 화면 공격 패킷 10 / 27

Layer 7 DDoS RUDY (R-U-Dead-Yet) 긴 POST 데이터 길이, 느린 POST 데이터 전송에 대한 대기상태 공격 화면 공격 패킷 11 / 27

Layer 7 DDoS XerXes 웹서버 DoS 유발 (정확한 메커니즘 알려지지 않음) 12 / 27 http://hack-website.blogspot.com/2010/12/wikileakorg-xerxes-dos-attack.html 12 / 27

Layer 7 DDoS Random parameter parameter가 포함된 URL을 GET flooding 할 때 parameter값 임의 변화 13 / 27

목차 Others DDoS 14 / 27

Others DDoS Torrent DDoS By providing tempered information to the trackers or hosting compromised trackers, it is possible to redirect huge amount of BT traffic to a victim under attack. - Ka Cheung Sia , DDoS Vulnerability Analysis of Bittorrent Protocol 15 / 27

SmartPhone DDoS Others DDoS 정식 어플리케이션을 제3자가 수정하여 비정상 경로로 배포 16 / 27 설치시 C&C 서버에 접근 C&C 명령을 받아 SMS 전송 중국에서 발견된 툴로써 다음 주소의 C&C 서버에 의해 SMS 메시지를 전송하는 것으로 보인다. http://www.youlubg.com:81/Coop/request3.php 어플리케이션 코드 중 일부 (시만텍) 16 / 27

SmartPhone DDoS Others DDoS 4.7 DDoS 공격 대응 워크숍 – 한국정보보호학회 출저 : 하우리 17 / 27

Multicasting Flooding Others DDoS Multicasting Flooding ① 악의적인 공격자는 MITM 이나 물리적인 접근을 통해 IPTV 네트워크 망에 접근. ② 멀티캐스트 주소로 조작된 UDP 패킷들을 전송. ③ 정상 사용자는 조작된 UDP 패킷들을 받음. 멀티캐스트 플러딩 시나리오 출저 : IPTV 네트워크에서의 IGMP 메시지 조작과 멀티캐스트 플러딩 공격에 대한 분석 및 대응방안, 김무성 18 / 27

Multicasting Flooding Others DDoS Multicasting Flooding 셋탑박스는 125.xxx.xxx.162 IP를 가진 미디어 서버로 부터 스트리밍을 전송 받는 중 공격자의 멀티캐스트 플러딩으로 인해 125.xxx.xxx.163 로 부터의 임의의 UDP 패킷들을 수신. bash# ./udpflood 125.xxx.xxx.163 233.xxx.xxx.41 50000 xxxx 100000 (그림 11) UDP 패킷 플러딩 공격 툴을 이용한 공격 예제 미디어 서버인 125.xxx.xxx.162로부터 전송되는 방송 스트리밍 멀티캐스트 플러딩 공격에 의한 UDP 패킷 전송 출저 : IPTV 네트워크에서의 IGMP 메시지 조작과 멀티캐스트 플러딩 공격에 대한 분석 및 대응방안, 김무성 19 / 27

Multicasting Flooding Others DDoS Multicasting Flooding 조작된 패킷은 정상 패킷과는 대조적으로 일련의 스트링으로 데이터 페이로드가 구성. (a) 정상 패킷 (b) 조작된 패킷 정상적인 패킷과 조작된 UDP 패킷의 데이터 내용 출저 : IPTV 네트워크에서의 IGMP 메시지 조작과 멀티캐스트 플러딩 공격에 대한 분석 및 대응방안, 김무성 20 / 27

IPv6 router advertisement(auto configuration) flooding Others DDoS IPv6 router advertisement(auto configuration) flooding IPv6 ICMPv6 Router Advertisement 패킷 prefix 위조 및 플러딩 그림 : http://mpictcenter.blogspot.com/2011/04/serious-windows-flaw.html 21 / 27

목차 Application DoS 22 / 27

Application DoS zip bomb 23 / 27 참조 : http://www.unforgettable.dk/ Application-Level Denial of Service Attacks and Defenses - Bryan Sullivan, Adobe system, codegate 2011 23 / 27

Application DoS PCRE DoS 웹서버 혹은 IDS/IPS 장비를 타겟으로 한 데이터전송 <([A-Z][A-Z0-9]*)[^>]*>.*?</\1> <tag>content</tag> <tagxyz>content</tag> ^(\w+)+$ abcdef9 웹서버 혹은 IDS/IPS 장비를 타겟으로 한 데이터전송 24 / 27

Application DoS Billion laughs XML 웹서버를 타겟으로 한 데이터전송 A billion laughs attack is a type of denial-of-service (DoS) attack which was, in its original form, aimed specifically at XML parsers, although the term may be applicable to similar subjects as well. - wikipedia <!DOCTYPE root [ <!ENTITY ha "Ha! "> <!ENTITY ha2 "&ha;&ha;"> <!ENTITY ha3 "&ha2;&ha2;"> <!ENTITY ha4 "&ha3;&ha3;"> <!ENTITY ha5 "&ha4;&ha4;"> ... <!ENTITY ha128 "&ha127;&ha127;"> ]> <root>&ha128;</root> XML 웹서버를 타겟으로 한 데이터전송 25 / 27

대응 방안 및 결론 Layer 7 DDoS Others DDoS Application Dos 사용자 동적 행위 반영 smartphone, IPTV : 3G, IPTV 망의 보안 메커니즘(IDS/IPS/WIPS 등) 적용 IGMP, multicast flooding : 단말 혹은 서버 인증 적용, 물리적 분리 IPv6 : lifetime 을 0으로 재 router adv. & 탐지 및 차단 (IPv6 full support 필) Application Dos 41.zip, Billion laughs : 사용자 단의 유효성 검사 PCRE : 성능을 고려한 시그니처 생성 및 코딩 26 / 27

감사합니다

지원: 개인정보보호 지원
About project: SlidePlayer 약관

© 2024 slidesplayer.org Inc. All rights reserved.