주로 특정 서비스 공격이 주로 였습니다. 이를테면,. 웹서버나 메일서버등의 해당 서비스 포트를 공격하여 버퍼오버플로우를 일으킨다든가 하는 패턴입니다.
그러나 최근의 DOS 공격은 해당 타켓서버가 위치한 네트워크 공격입니다. 말하자면 해당서버의 특정 서비스 공격뿐만 아니라 존재하지 않는 포트를 대상으로 무작위 패킷을 송신하는 것입니다. 실제 공격은 특정서버를 공격하는 것이지만,. 그것에 따른 네트워크 영향은 놀라울 정도라는 것입니다.
이전의 특정서비스 공격패턴보다 이런 무작위 패킷공격이 더 큰 위험성을 가지고 있는 것은,. 해당 네트워크에 위치한 모든 네트워크장비(서버를 포함하여..) 무력화 해버린다는 것입니다.
위 그림은,. 실제 공격이 매일이루어지고 있는 실제 트래픽입니다.
MRTG 챠트를 보면,. 거의 2~3시간마다 1Gbps 이상 공격을 진행하는데, 문제는 해당 네트워크 스위치의 포트에 물려있는 최대 트래픽이 1Gbps 라는데 있습니다.
일반적으로 IDC의 백본스위치로부터 주로 1Gbps 광포트를 할당받습니다. 그러나 실제 공격은 1Gbps를 초과하는 패킷을 보냅니다. 그러면, 해당 스위치는 패킷 오버플로우가 발생하게 되고,. 해당 스위치 밑에 있는 모든 장비는 실제 공격 타겟이 아니더라도 치명적인 서비스 지연이 발생하게 됩니다.
실제 공격자의 트래픽은 1Gbps를 초과한 약 2~3Gbps를 보냅니다. 공격자중 상당지역이 중국측인데 이러한 일시적인 대용량 패킷은 한중간 국제망에 치명적인 영향을 주기도 합니다. Dacom, KT 등은 이러한 일시적인 패킷에 대해서 국제망에서 Null 라우팅을 처리하기도 합니다.
위 통계는, 제가 근무하는 회사의 IPS 장비의 통계입니다.
얼마전까지만 해도, 공격패턴중에 하나인 TCP Syn-Flood 가 상당수 차지를 했습니다. 방화벽이나 IPS, IDS 를 운영해 보신 경험이 있으시면 수많은 공격패턴이 있으며 그중에 하나입니다. 그러나, 최근에는 UDP 공격이 주를 이루고 있으며,. ICMP 공격도 상당수가 됩니다.
통계에서는,. 프로토콜번호 17번, TCP 21번 포트를 공격 및 UDP 21번 포트를 공격하는 것으로 나타나 있습니다. 물론 위는 알려진 21번 포트를 공격한것이지만, 실제 운영에서 나타난 현상을 보면,. 실제 존재하지도 않는 포트를 대상으로 패킷을 보내거나, 일반적으로 알려지지 않는 프로토콜 패킷을 대량 보내기도 합니다.
IPS 장비가 1Gbps 처리능력을 보유하고 있으므로, 1Gbps 내에서는 처리성능과 결과가 매우 좋습니다. 실제 공격패킷은 모두 Drop 처리되기때문에 실제 서버에는 도달하지 않으며, 정상적인 서비스가 가능해 집니다. 물론 IPS 자체의 탐지 및 차단 알고리즘이 우수하기도 하지만,..
그러나, 앞서 얘기한것처럼 1Gbps 이상의 패킷이 들어오는 경우에는 IDC 측에서 처리하지 않는 이상 현재로선 방법은 없습니다. 물론 1Gbps 이상의 네트워크 장비를 이용하면 되지 않겠냐? 라는 의문이 있을수 있으나,. 수억대 장비가격보다는 IDC 측에서 다른 고객보호를 위해서 차단을 합니다.
지금까지 상황은,. 현재 지금도 국내 잘알려진 IDC 에서 벌어지고 있는 상황이며,. 종종 기사를 통해서 공격이 의심되는 상황때문에 서버접속이 잘안된다고 하는 경우의 대부분이 해당된다고 보셔도 좋습니다.
21-9udU5T6gUIZt8eHOhmDQ2B06pKIimFIi.png
21-BM8ePfWmJjjMAM0Xs8aWwYuydAW0NCHb.jpg
댓글 없음:
댓글 쓰기