안철수연구소 TrusGuard DPX의 DDoS 공격 대응 기법

2011.12.09

 

안녕하세요. 안랩인입니다. 안랩 트러스가드 DPX(AhnLab TrusGuard DPX, 이하 트러스가드 DPX)는 세션(Session) 관리를 하지 않으면서 다양한 형태의 DDoS 공격 트래픽을 탐지•차단할 수 있는 기능을 제공합니다. 따라서 세션 과부하 현상이 일어나지 않으며, 비대칭 라우팅 경로(Asymmetric Routing Path)로 운용되는 망 환경에서도 정상 트래픽과 DDoS 공격 트래픽을 판단할 수 있습니다.

교묘해진 DDoS 공격 원천 방어하는 '묘책'

 

또한 정상 트래픽을 판단하기 위해, 정상적인 TCP 세션 연결인지, TCP 상태 정보가 맞는지에 대해 자체적으로 판단하는 안티스푸핑 필터(Anti-Spoofing Filter)를 제공합니다. 정상적으로 웹에 접근하는 트래픽인지 여부를 판단하는 봇넷(BotNet) 필터도 제공, 기존의 URL Redirect 기법을 우회하는 공격에 대응할 수 있도록 해줍니다. 이러한 근거를 통하여 정상적으로 접근하는 소스 IP를 자동으로 판단하며, 긴급 시 정상적으로 접근하지 않은 소스 IP의 트래픽을 차단합니다. 아울러 상태 정보가 존재하는 TCP 트래픽뿐만 아니라, UDP/ICMP 등 상태 정보가 없는 패킷에 대해서도 대응할 수 있는 기능도 제공합니다.

 

물론, 전통적인 DDoS 공격 대응 방식인 임계치(Threshold) 기반의 필터도 제공합니다. 이는 앞서 정상 트래픽 판단에서 확인된 정상 소스 IP가 평상시보다 과도하게 트래픽을 발송할 경우 임계치 기반으로 탐지 및 차단하게 되므로, 기존의 임계치 기반 단일 정책에 비해 월등히 높은 정확도와 낮은 오탐률을 제공합니다. 또한, 정확한 임계치를 산출하기 위하여 자동 자가 학습(Automatic Self-Learning) 기능과 정상적이지만 많은 트래픽을 발송하는 소스 IP들의 임계치를 각 보호 대상별로 최대 128개씩 개별적으로 학습할 수 있는 기능을 제공합니다.

 

단일 제품의 성능을 초과하는 대규모 DDoS 트래픽에 대응하기 위해서는 2대 이상의 장비가 액티브-액티브(Active-Active) 형태로 구동돼야 합니다. 트러스가드 DPX는 최대 12대의 제품이 하나의 제품처럼 구동할 수 있는 클러스터링 기능을 제공합니다. 이를 통하여 최대 120Gbps의 대역폭을 처리할 수 있으며, 정상 트래픽을 발송하는 소스 IP 확인 정보를 12대의 클러스터 내의 제품들 간에 상호 동기화하는 기능을 통해 여러 제품을 하나의 제품처럼 운용할 수 있습니다. 그리고 네트워크 라인 중간에 위치하는 인라인(Inline) 구성 방식을 지원하며, 제품 장애 발생 시 우회를 통한 자동복구능력(Fault Tolerance)을 제공합니다. 대규모 망 구성에 적용할 수 있도록 네트워크 라인 중간에 위치하지 않는 아웃오브패스(Out-of-Path) 구성 방식도 지원하여 더 진화된 자동복구능력을 제공합니다. 아웃오브패스 구성 방식은 시스코(Cisco) 제품군의 라우터 및 스위치와 연동하여 구성할 수 있습니다.

 

앞으로의 DDoS 공격은 더 작은 트래픽 형태로 나타날 것이며, 취약점을 기반으로 공격하여 더 많은 서비스 부하를 일으킬 것입니다. 이에 효과적으로 대응할 수 있는 방법은 취약점 기반의 패킷을 차단하는 IPS입니다. 이를 위해 트러스가드 DPX는 이미 시그니처 기반 필터(Signature Based Filter)를 적용하고 있어 새로운 위협에 적극 대응할 수 있습니다.

 

향후 DDoS 공격의 변화 예측 및 대응 방안 제언

 

위에서 살펴본 바와 같이 DDoS 공격은 매우 다양합니다. 공격자들은 DDoS 공격을 좀더 효과적으로 수행하기 위하여 여러 가지 DDoS 공격 기법들을 지속적으로 개발하고 있습니다. 반면, 방어자들은 새로운 DDoS 공격 유형을 방어하기 위한 기법들을 끊임없이 연구하고 있습니다. 이러한 순환 생태계에서 지금 순간에도 공격자와 방어자는 치열한 싸움을 하고 있습니다. 이 싸움에서 이기기 위해서는 새로운 형태의 DDoS 공격 대응 기법이 필요합니다. 다시 말하면, 기존의 DDoS 공격 대응 제품처럼 단순 임계치 기반의 DDoS 공격 방어에 초점을 맞추는 방식으로는 다변하는 DDoS 공격에 효과적으로 대응하기에는 한계가 있습니다.

 

안철수연구소는 다양한 악성코드 정보와 DDoS 공격 정보를 DDoS 공격 대응 전용 제품인 트러스가드 DPX와 유기적으로 연계해 적용하고 있습니다. DDoS 공격 근원인 좀비 PC를 유발하는 악성코드 정보를 분석하고 관련 정보와 정책을 엔드포인트 제품뿐만 아니라 네트워크 어플라이언스 제품에 신속하게 업데이트 및 반영하고 있습니다. 즉, 새로운 DDoS 공격 기법을 분석해 신규 DDoS 공격 방어를 위한 기법을 트러스가드 DPX에 빠르게 적용하고 있습니다. <Ahn>

 

* 더 자세한 내용은 안랩 홈페이지 를 참고해 주세요.