서비스 거부공격에 대한 보안장비 대응 현황(?)

안녕하세요 주인장입니다...^^;

전문적인 글은 아니고 오늘은 서비스 거부공격에 대한 보안장비가 어떤식으로 대응을 하는지에 대한 썰을 한번 이야기 해보겠습니다.

서비스 거부 공격에 대한 뉴스는 많이 들어서 알고있지만 대응하는 법에 대한 구체적인 이야기는 많이 안나와서 간략하게 설명을 하고자 합니다.

그림을 넣으면 좋은데...그건 나중에 기회되면 넣도록 하겠습니다

우선 대응방법은 다양한데 지금 글은 [보안장비]의 입장에서만 대응하는 법에 대해서 이야기 하겠습니다.

방화벽에서 제일 많이 대응을 할수 있는 수단이 접속자 수에 대한 제한입니다.

어떤식으로 대응을 하느냐 하면 IP 1개당 최대 전송대역폭 제한, 그리고 세션발생 수에 대한 최대수 제한을 하는 방법입니다

즉 1개의 IP가 서비스 거부 공격 트래픽을 발생 할 경우 그 IP에 대해서 보안장비가 사전에 설정된 대역폭 및 발생 세션수에 대한 제한을 걸어 버립니다

그러면 아무리 많은 공격시도를 하더라도 보안장비에서 제한을 두게 되어 서버 및 일정한 대역폭에 대한 보장이 되게 됩니다.

여기까지 읽으면 서비스 거부공격에 대한 대응이 어느정도 될거라고 생각하는데 여기서 함정이 있습니다..

IP 1개에 대한 제한을 두게 되면 괜찬은데 다수의 IP에서 동시 다발적으로 공격이 들어오게 되면 보안장비가 버티지를 못합니다...ㅡ.ㅡ....

즉 보안장비에 대한 가용성이 먼저 떨어저 서버나 회선은 넉넉한데 보안장비가 먼저 다운이 되는 경우가 발생을 합니다.

즉 이방법은 보안장비의 성능이 넉넉할 경우에만 제한적인 사용을 권합니다..정상적인 사용자도 제한이 걸릴수 있습니다.

또 전문적인 기술로 Syn cookie 방식 또한 방화벽에 기본탑재된 경우가 많습니다.

간략히 설명을 하자면 TCP 연결시 3단계 접속방식이 필요한데 DOS 공격으로 SYN 연결을 다수 요청을 하게 되어 응답을 대기하게 만들어 정상적인 요청을 더이상 받지 못하게 하는 방법을 써 서비스를 다운시키는데 보안장비가 SYN+ ACK 응답을 서버보다 먼저 주게 되어 응답이 있을때 정상으로 판단을 하고 서버로 연결을 시키는 기술입니다.

이것또한 활성화를 하게 되면 방화벽의 성능 저하가 일어나게 됩니다.

어느정도 최적화로 최근장비들은 큰 부하없이 기능을 수행하는 경우가 많기도 합니다.

서비스 거부공격을 방어하는 방법은 다양하게 많이 존재를 합니다. 또한 공격법도 다양합니다. 가장 최근 서비스 거부공격은 DNS 반사 공격이 있었습니다.

기회가 되면 한번 더 설명을 하도록 하겠습니다.