아하

  • 토픽

  • 스파링

  • 잉크

  • 미션

생활

생활꿀팁

강한에뮤83

강한에뮤83

Ddos공격은 어떻게 막나요?

Ddos로 많은 피해를 보는데 이를 막을 프로그래밍 방법이 있나요?

    1개의 답변이 있어요!

    • 청초한파리217

      청초한파리217

      디도스 공격의 대응 방안

      1) 관리적 측면

      ①디도스 공격 예방과 신속한 조치를 위해 ISP 업체와 디도스 대응 방안에 대한 사전 협의가 필요하다.

      ②내부 조직간의 협조를 위해 디도스 대응을 위한 TFT(Task Force Team)를 구성한다.

      ​③TFT 조직 구성원의 R&R을 명확히 하여 디도스 공격 발생시 신속히 대응할 수 있도록 한다.

      [그림4] 디도스 공격 대응 TFT 조직도의 예

      ④평시에 유관기관(국가사이버안전센터 등)과 최신 동향 및 기술 관련 정보를 공유하도록 한다.

      ⑤​디도스 공격 대응 모의훈련을 연 2회 이상 실시하여 대응절차, 업무협조체계 및 비상연락망 등을 점검한다.

      ⑥​보안관리자는 공격패턴에 대한 최신 동향을 상시 분석하고, 위험도가 높은 공격의 경우 내ž외부로 전파한다.

      ⑦​보안관리자는 각종 교육 및 세미나 참석을 통하여 사이버 공격 동향을 파악한다.

      ⑧​사내 PC가 감염되지 않게 정기적인 정보보호 교육 실시 및 안티바이러스 소프트웨어를 철저히 관리해야 한다.

      ​2) 기술적 측면


      ①라우터 및 스위치에 ACL(Access Control List)을 적용하여 도스 공격 트래픽일 가능성이 큰 패킷을 사전 또는 사후에 차단함으로써

      공격에 대응할 수 있다.

      ②패킷의 출발지 IP 주소가 정상적인 주소가 아닌 경우, 이를 사전에 차단해야 한다. 출발지 주소가 사설 IP 주소인 경우 대부분이 ​

      Spoofing 패킷이므로 전부 차단해야 하며, 사설 IP 주소에 대한 라우팅이 필요한 경우 사용하는 IP 주소만 허용하고 이외의 IP주소는

      차단해야 한다. ACL을 사용해서도 사설 네트워크 내역이나 Broadcast 주소를 차단함으로써 IP Spoofing을 방지할 수 있다.

      ③들어오는 패킷이 일반적인 UDP나 ICMP 프로토콜의 패킷 크기보다 클 경우 이를 사전에 차단함으로써 대역폭 고갈 공격에 대응할

      수 있다. 예를 들어 UDP 패킷의 크기가 2M 이상이면 Drop을 명령하도록 하고, ICMP 패킷의 크기가 256K 이상이면 Drop을

      명령하도록 한다.

      ④CAR(Committed Access Rate)를 설정하여 단위 시간 동안 들어오는 일정량 패킷에 대해 초과시키지 않도록 설정할 수 있으며,

      라우터에서 TCP SYN 공격 방지 설정으로 디도스 공격에 대응할 수 있다.

      ⑤디도스 공격에 대응하기 위해 IDS 및 IPS 등의 보안 장비 설정을 최적화하고, 실시간 탐지 이벤트를 모니터링하며, 디도스 관련

      패턴들을 분석하여 상시적으로 업데이트 해야 한다.

      ⑥방화벽을 이용하여 디도스 공격에 대해 대응할 수 있으며, 대역폭 공격에 대응하기 위해 불필요한 프로토콜에 대해서 차단하는

      정책을 적용하는 것이 좋다. 디도스 공격 대응을 위한 방화벽 설정은 다음과 같다.

      - 서비스 연결에 필요한 포트를 제외한 모든 인바운드 트래픽 차단

      ​- DMZ 운영 시 네트워크 대역이 아닌 서버별 허용 트래픽 설정

      ​- 모니터링을 위해 서버별 통계자료를 확보할 수 있는 형태로 설정

      ​- 사설 IP 주소로 부터의 트래픽 차단 정책 적용 필요

      ​- 대역폭 공격을 차단하기 위해 불필요한 UDP/ICMP 패킷 차단 정책 적용 필요


      5. 결론

      디도스 공격은 2005년 이후 금전적인 이유로 공격하는 횟수가 증가하면서 빈번하게 발생하였지만, 근래에는 정치적 혹은 더 나아가

      대 국가적 목적으로 공격을 하는 경우가 많아졌다. 봇넷 등과 같은 디도스 공격을 위한 툴(Tool)의 확산으로 해커집단 뿐 아니라

      스크립트 키디(Script Kiddie) 집단도 악성코드를 만들어 유포하고, 디도스 공격을 할 수 있어 언제 어디서 일어날지 예측하기 힘들기

      때문에 디도스 공격은 대응하기 어려운 공격이기도 하다.

      디도스 공격은 분명 완벽하게 예방할 수 없다. 그러나 관리적기술적 예방 조치는 사고 가능성을 낮추기 위해 필수이며, 시기와

      규모를 예측할 수 없기에 분명 사고 발생 후의 복구과정도 예방만큼 중요하다. 다시 말해, 먼저 피해복구 범위를 결정하고, 자산의

      ​중요도에 따라 복구 우선 순위를 결정해야 하며, 각 시스템에 적합한 피해복구와 사후관리가 필요하다.

      또한 자신의 PC가 좀비화 됐는지 알고 싶다면 한국인터넷진흥원(KISA) ‘보호나라’에 접속하여 악성봇 감염여부를 확인할 수 있으며,

      한국인터넷진흥원(KISA)은 디도스 공격을 막기 위한 고가의 장비를 갖추지 못한 영세업체를 대상으로 ‘디도스 대피소’를 운영한다.

      사전에 신청하면 해당 사이트로 유해 트래픽이 몰려올 경우 트래픽 경로를 대피소로 바꿔 공격을 대신 받아준다.

      디도스 공격 발생 시 정보보호담당실무자는 장비별 담당실무자로 하여금 피해규모를 최소화하기 위한 공격 IP주소 차단, 장비 임계치

      조정, 통신사업자에게 공격 IP주소 중 해외 IP주소에 대한 차단 요청, 일시적 네트워크 대역폭 확대조치 등 초동조치를 한 후에

      국가사이버안전센터 및 통신사업자(ISP) 등 유관기관과 유지보수업체에 통보하여 협조를 요청하여야 하며, 이를 위해 사전에

      비상연락망을 구성 및 유지해야 한다.

      뉴스 기사에서 보고 들었던 디도스 사건, 대부분의 기업들이 자신들은 사고를 당하지 않을 것이라는 자만심에 빠져 있다. 디도스

      공격에 의해 기업의 주요한 서비스가 마비되고, 중요한 정보가 유출된다면 그만큼 기업에게 위험한 상황도 없을 것이다. 앞에서도

      말했듯이 기업이 디도스 공격을 완벽하게 예방할 순 없지만 고객의 신뢰와 정보보호를 위해 사고 발생 가능성이 높은 디도스 공격에

      대비하여 관리적 기술적 예방은 물론이고, 사고 발생 후의 복구계획을 세워 디도스 공격에 대한 피해를 최소화 할 의무가 있으니

      이에 유의해야 할 것이다.