DDOS 방어자료.

1. DDOS 대처법

1)  충분한 회선대역폭,충분한 네트워크장비,네트워크장비필터링,보안장비필터링,서버필터링 설정으로

    피해를 최소화 시킬수있습니다.

   

2. 대처법 세부사항

1) 회선트래픽 Full발생 서비스불가대비

=>  장비는 캐쉬테이블에 SRC IP/ DST IP 또는 포트정보를 포함함 Fow정보가 Hash자료 형태로 저장됨.

 이후 테이블 lookup으로 처리

 결국, 다량 Sync공격 -> Hash테이블 증가-> 세션처리불가-> CPU부하증가->  처리성능감소-> 장비장애-> 서비스불능

 

스위치의 구조는 다음과 같다.                         

                                               CPU(라우팅테이블,브리지테이블)

                                                      |

패킷->------------인터페이스---Cache Table -----인터페이스--------->----------패킷

 

- 공격목적은 네트워크무력화(트래픽Full,네트웍장비 과부하,서버처리불능)임.  2차 감염이 아님.

 

    초기엔 중국에서 많이 발생했으나, 최근엔 소스가 국내서버이며, 발신지 IP변조 공격이 발생중입니다.

    예로는 TCP공격으로는 초당 28,000건 sync공격등,  UDP공격으로 과다 트레픽발생 (보통 1~3Giga)

 

 3) 모니터링시스템구축 필요

 -  트래픽 Full, L3,L4세션 초과로그,서버로그에 대해 문제 발생시 즉각 SMS수신되는 시스템구축필요

 네트워크 장비 로그를 특정서버에 수집하여, 임계치초과등 발생시 문자발생

-  어떤 도메인이 공격받는지 확인가능해야 한다. 

 -  Cacti등 트레픽모니터링시스템 구축  

 -  기타 서버 스크립트 이용 주기적 서버모니터링   http://cafe.naver.com/dnspro/591

 

4)  서버가 버텨야한다.

 - 웹서버에 DDOS방지를 위한 필터링 준비

 - DNS $TTL을  10분이하로 줄여놓아야한다.

 - L4사용하는경우 네트워크장비의 부하가 발생할수있으므로, 네임서버에서 리얼서버IP로 변경하여분산.  

 - 충분한 웹서버로 필터링설정을 해야한다.

-  SYN cookies 설정, Linux에서 지원      http://cr.yp.to/syncookies.html

    SYN cookies are now a standard part of Linux and FreeBSD. They are, unfortunately, not enabled by default under  

    Linux. To enable them, add     
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies  to your boot scripts. 
 - IPTABLE의 Recent Module 사용    http://cafe.naver.com/dnspro/2186

mod_dosevasive 를 통한 apache 웹서버Dos 막기  http://cafe.naver.com/dnspro/2644 

 

    

3. 참고자료

  1.  Hardening the TCP/IP stack to SYN attacks :       http://www.securityfocus.com/infocus/1729

  2.  DoS Design Considerations : General Design Considerations for Secure Networks
       
http://www.ciscopress.com/articles/article.asp?p=174313&seqNum=7

  3.  Cisco  Defeating DDos:

      http://www.cisco.com/en/US/products/ps5888/products_white_paper0900aecd8011e927.shtml

  4. DDOS 자료 모음 :   http://en.wikipedia.org/wiki/DDoS#Distributed_attack

  1. ^ Understanding Denial-of-Service Attacks (US CERT)
  2. ^ "Advisory CA-1997-28 IP Denial-of-Service Attacks" (CERT)
  3. ^ Sop, Paul (2007). P2P Distributed Denial of Service Attack Alert- http://www.prolexic.com/
  4. ^ The "stacheldraht" distributed denial of service attack tool
  5. ^ Intrusion Detection FAQ: Distributed Denial of Service Attack Tools: trinoo and wintrinoo
  6. ^ US credit card firm fights DDoS attack
  7. ^ Paxson, Vern (2001), An Analysis of Using Reflectors for Distributed Denial-of-Service Attacks
  8. ^ Vaughn, Randal and Evron, Gadi (2006), DNS Amplification Attacks
  9. ^ January 2001 thread on the UNISOG mailing list
  10. ^ Honeynet Project Reverse Challenge
  11. ^ OpenBSD's pf is a packet filter some providers use for exactly this purpose. [링크]  

공격의 목표에는 인터넷 서비스 업체들은 물론이고, 아카마이 테크놀로지, 아마존닷컴, 아메리카 온라인, 마이크로소프트의 핫메일과 백악관, 그리고 심지어는 전화회선을 이용하는 사용자들까지도 포함됐다.
피해자들의 약 65%는 한번 공격을 받았으며, 18%는 두 번이상 공격을 받았다.
공격은 어디서나 몇 분에서부터 몇일까지 계속됐다

대부분의 공격은 초당 1000패킷 또는 그보다 느린 속도로 기록됐으나, 가장 빠른 공격의 경우에는 초당 67만9000패킷이 공격당했다.

 

이상 Ver1.0 이였습니다.