cisco ddos 방어솔루션 · 게임아이템거래사이트, ‘ddos 공격 툴’에 휘둘렸다...

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1

Cisco DDoS 방어솔루션

© 2007 Cisco Systems, Inc. All rights reserved.Product Standard Presentation 2

목차

� DDoS 피해와 국내동향

� Cisco Guard/Detector 소개

� 경쟁사정보

� 활용방안

� 결론


DDoS 피해와국내동향


자료출처 : Cisco/IronPort 2008 Security Trend Report

2007년국내/외보안동향

SPAM Volume 100 % 증가

- 전세계적으로 연간 Spam 160조 발생

- 인당 하루 스팸메일 수신 20 통

SPAM Mail의 위험성 증가

- Spam 메일의 83%가 URL 포함

- URL 기반 Virus 256% 증가

Self Defending Bot Net

- Bot Net의 빠른 진화

Virus가 더 이상 주인공이 아니다.

- Virus의 DDoS 성격으로의 진화

공격의 국지성 심화

대가성 범죄 급증

웹 사이트 해킹 심화

허위 안티스파이웨어 급증

Bot Net 기승

이동저장장치 노린 악성코드 기승

스파이웨어 전파방법 지능화

악성코드 은폐 방법의 고도화

ARP 스푸핑과 악성코드의 결합

애플리케이션 취약점 공격다양화

자료출처 : 안철수연구소 2007 10대 보안위협


미디어를통해알려진국내 DDoS 공격피해사례

증권회사 DDoS 공격…돈 요구

해커들이 증권회사의 전산망을 공격해 한 때마비시키고 돈까지 요구했습니다.고객들은 피해를보지 않았다는데 영화에서나 보던 일이 실제벌어지고 있는 셈입니다.해커의 집중 공격을 차단하기 위해 서버가설치된 데이터 센터에 특수 차단 장비를 설치해대응하고 있는 것으로 알려졌습니다.

MBC 03.21

게임아이템거래사이트, ‘DDoS 공격 툴’에

휘둘렸다

지난달부터 DDoS 서버 공격으로 인해 정상적인서비스를 제공하지 못했던 주요 게임아이템 거래웹사이트들의 서버다운 원인이 정체 불명의‘DDoS 공격 툴’에 의한 것으로 드러났다.

조선일보 2007.10.15

영화속 `사이버 전쟁`이 현실로?…해커

공격 받은 에스토니아 경제 한때 `초토화`에스토니아의 사이버 공격은 네트워크의일부분을 공격함으로써 컴퓨터에 접근할 기회를막는 방식으로 이뤄졌다. 해커들은 온라인사기에 활용하는 것처럼 공격 대상의 컴퓨터를'좀비'컴퓨터로 만들어 조종했다.여러 대의컴퓨터로 특정 사이트를 일제히 공격해 시스템을갑자기 마비시키는 DDoS수법도 활용됐다.

한국경제 2007.06.26

서비스 유지하려면 돈내

14일 업계에 따르면, 국내 중소규모 사이트를겨냥한 중국발 DDoS 공격이 기승을 부리고있다. 공격자들은 이들 사이트를 겨냥해 DDoS 해킹 공격을 시도해 서비스를 마비시킨 뒤관리자에게 메일을 보내 적게는 수백~수천만원상당의 돈을 입금시키지 않으면 아예 서비스를

중단하겠다는 협박하고 있는 것으로 전해졌다.

머니투데이2007.02.11


국내 DDoS 공격유형분석

20062H

20071H

20072H

20081H

주요주요 공격공격 목표목표

성인 사이트, 웹보드 사이트

사회적사회적 관심도관심도

없음, 관련 산업/전문가 그룹등에서만 일부 관심

공격목적공격목적

금전적 요구

공격유형공격유형

대규모 UDP Traffic 공격


중소규모 컨텐츠 제공 업체로 확대


일부 IT 미디어등에서 관심


금전적 요구 및 시험용 공격


공격의 다양화(TCP/UDP/ICMP/IGMP)


대형 컨텐츠 제공 업체로 확대


IT 전반적 관심으로 확대


금전적 요구 액수가 증가 추세(천만원 단위)


TCP Connection 공격 강화


금융권으로 확대


사회적 관심 크게 증가


랜섬 공격이 대범해짐.

다수의 사이트에 협박 메일


계측기/중국좀비 TCP 공격등장


Cisco Guard/Detector 소개


전통적인 DDoS 공격방어방식Black hole /Sink hole Routing 방식

� Black hole /Sink hole Routing 구성

� 대형 ISP에서 주로 많이 구현하는 방식

� 일반적으로 Null Routing 기법으로 사용

� Enhanced Blackhole/Sinkhole Routing 구성

� 중앙에 Blackhole Trigger Router를 두고, 사용하는 방식

� Sinkhole 구성을 통해 공격 데이터의 상세 분석가능

� 장점

� 공격 목표로 향하는 모든 Traffic을 Routing 기반의 Drop 처리를 통해 손쉽게 구현 가능

� 단점

� 모든 공격목표로 향하는 Traffic이 Null Routing 되므로 서비스 불가

� 일반 기업 및 중요 컨텐츠 서비스 제공자입장에서는 사용 불가능한 구조

� Black hole Trigger 구성을 위한 전문 지식 필요

BlackholeRouting

전체 Subnet 영향

전체 Subnet 영향은피할 수 있으나

공격목표는 서비스 정지


전통적인 DDoS 공격방어방식Packet Filtering 기술(Access-list)

� Network 장비 기반 Packet Filtering 기술

� 일반적으로 Core Router / Backbone Switch 에서 주로 사용 되는 기술

� 장점

� 대규모 UDP 공격이나, 명확한 DDoS 공격일경우 유용하게 차단 할 수 있음.

� 단점

� 정교한 방어가 불가능 하므로, TCP 공격에는매우 취약함

� Source IP 대규모 변조시 방어하기가 사실상어려움

� 공격 목표가 되는 피해 시스템 Filtering 할 경우, 피해 시스템은 서비스가 정지됨.

� 엄청난 Management Overhead 발생

전체 Subnet 영향

access-list 100 deny tcp host x.x.x.x host x.x.x.x eq 80access-list 100 deny tcp host x.x.x.x host x.x.x.x eq 80access-list 100 deny tcp host x.x.x.x host x.x.x.x eq 80access-list 100 deny tcp host x.x.x.x host x.x.x.x eq 80access-list 100 deny tcp host x.x.x.x host x.x.x.x eq 80access-list 100 deny tcp host x.x.x.x host x.x.x.x eq 80access-list 100 deny tcp host x.x.x.x host x.x.x.x eq 80access-list 100 deny tcp host x.x.x.x host x.x.x.x eq 80access-list 100 deny tcp host x.x.x.x host x.x.x.x eq 80access-list 100 deny tcp host x.x.x.x host x.x.x.x eq 80access-list 100 deny tcp host x.x.x.x host x.x.x.x eq 80access-list 100 deny tcp host x.x.x.x host x.x.x.x eq 80

………………..

ACL 수작업


전통적인 DDoS 공격방어방식보안장비를통한방어기법 (Firewall / IPS)

� 보안 장비 기반의 방어 기법

� 방화벽 기반의 고성능 제어 기법 – 최대 10G bps / 초당 10만 CPS 내외

� IPS 기반의 제어 기법 – 최대 5G bps 내외 / 초당 5만 CPS 내외

� 장점

� 기존 장비를 활용 할 수 있으며, L7 기반의 웜, 바이러스 제어 가능

� 단점

� 대규모 DDoS 공격에 매우 취약함

( 1G 이상 대역폭 공격 및 10만 PPS 이상의 TCP Connection 공격)

� 인라인 구성이므로 백본 대역폭과 동일한고대역 보안 장비 구성을 해야함.

� 인라인 구성이므로 전송 지연현상 발생 가능성높음

� 서비스 지연 현상 및 특정 어플리케이션 서비스장애 가능성 높음.


DDoS Solution 요구사항

� 알려지지 않은 다양한 기법의 DDoS 공격에 적극적인 방어 기법 구현 필요

정교한탐지/방어

간편한방어

� Day-Zero 공격 탐지 및 방어 요구

� Signature Update가 필요없는 지능형 학습 시스템 요구

Bot공격방어

� 변조된 IP 공격에 대한 적극적 방어 필요성

� Bot 과 같은 다중 채널 공격에도 강한 방어 필요성

유연한방어

� 비즈니스의 연속성을 위한 공격 Flow만을 인라인 처리

� 탐지는 능력은 극대화 하며, 방어는 정교함을 유지


Cisco Guard/Detector를통한 DDoS 방어

Core Router

Backbone Switch

가입자Network

Internet

Guard

Detector

Guard

Detector

학습정책생성………………..

1학습정책생성………………..

1

공격 발생 탐지2

특정 Host IP 피해 가능성통보

3

4 피해 시스템으로 향하는트래픽만 라우팅 우회

5 MVP 기법에 의한정밀 분석

6 정상트래픽만을내부망 삽입


Cisco Guard/Detector를통한 DDoS 방어

<Cisco Guard/Detector 기반의 DDoS 방어 방식>

� Cisco Guard/Detector 기반의 DDoS 방어

� DDoS 전문 방어 장비로 다양한 DDoS 공격제어 가능

� 국내 최대 Reference Site 확보를 통한 검증된기술

� 다양한 구성이 가능한 유연한 구성 방식

� 장점

� 서비스 지연 현상 최소화 가능

1msec 이내 전송 지연 및 Passive 구성 방식의서비스 개입 최소화

� 대규모 공격 방어 가능

단일 Clustering 최대 16Gbps DDoS Inbound Traffic 방어

� 구성이 매우 간단

Static(RHI) 또는 사설 BGP Peer를 통한 사설 IP Peer 구성

� 다양한 공격 방어 가능

변조된 또는 변조되지 않은 DDoS IP/TCP/UDP/DNS/SIP 공격 방어 가능


Cisco DDoS Solution 제품소개상세소개

최대 500개가상Zone 구성

50개 Zone 실시간방어가능최대 500개가상Zone 구성Zone 최대구성

7600/6500 내부 Channel 사용7600/6500 내부 Channel 사용Physical Port

샤시당최대 10장

Static(RHI)사용가능

샤시당최대 10장

Static(RHI)사용가능특이사항

최대 3Gbps최대 2GbpsPerformance

1msX전송지연시간

10만개이상XZombie 차단

Service ModuleService Module

Type

AGMADM


Tool 기반 공격 방어: JOLT, WINNUKE, TRINOO, TFN, Targa3, Naphta, Trash, fawx,..

Cisco DDoS 방어 Solution방어기술

� Flood Attacks

TCP, UDP, ICMP

Spoofed SYN Flood

Non-Spoofed SYN Flood

UDP Flood

FIN, SYNACK Flood(Spoofed and Non-spoofed)

Ping Flood

Smurf Flood

Combined UDP/TCP/ICMP

�Fragmentation AttacksIP/UDP

IP/ICMP

IP/TCP

�HTTP AttacksConnection Flood (Client attack)

http errors 404 etc.

http half connections

�BGP Attacks

�DNS Attacks

�SIP Attack


경쟁사정보


Cisco DDoS Protection 의고품질차별화기능

트래픽상태감시:(TCP, UDP, HTTP, DNS, SIP)

•패킷전송률(ex: SYNs in PPS)•상태별패킷비율 (SYN: FIN)•Half-open TCP Connections 및열려진연결개수

For Destination & Source:

• By destination host IP• By destination host subnet• By source host IP

Firewall No

IPS No

L7 Switch

No

비정상트래픽차단 스푸핑된공격차단TCP 안티스푸핑:

• SYN Cookie - HTTP Redirect• TCP Anti-spoofing method #2• TCP Anti-spoofing method #3• Strong Anti-Spoofing – Proxy mode anti-spoofing

UDP Anti-Spoofing :

• DNS Anti-Spoofing Protection• SIP Anti-Spoofing Protection

Firewall SYN Cookie

only

IPS No

L7 Switch

SYN Cookie

only

Per-Source Dynamic Filtering:

•공격자에대해서만차단• 15만개이상의실시간필터링적용•최대 3Gbps/ 3.5 Mpps트래픽차단•한대의샤시에최대 6개의모듈로최대16Gbps 까지차단• <1 ms latency

다이나믹필터링

Firewall No

IPS No

L7 Switch

No

봇넷차단

봇넷에의한공격차단:

•업계유일의 Anti-Zombie 방어기술•대규모좀비 PC의차단서비스•소량의봇넷공격차단

Firewall No

IPS No

L7 Switch

No

업계유일의정밀한 DDoS 차단기술


활용방안


Hosting / ISP Data Center Design구성장비

• Detector

Cisco ADXT5650 4set orCisco ADM Module 4set

- 8Gbps Monitoring

• Guard

Cisco AGXT5650 4set orCisco AGM Module 4set

- 4Gbps Defense

적용기술

• Detector

Port Mirroring

• Guard

iBGP HijackingVRF or PBR or GRE InjectionMVP Filtering

Guard

Detector

Guard

Detector

Core Router

Backbone Switch

Firewall

Server FarmSwitch

Internet

Passive Monitoring

Passive Monitoring

이상징후발견시Notice

SSL or SSH

이상징후발견시Notice

SSL or SSH

1 1

2 2

3 3

4 4

iBGPHijacking

iBGPHijacking

Injection Injection

�IDC인프

라 보호&Man

aged Ser

vice

�주요포털

사이트보호

솔루션

�대기업 & 금

융 사이트보호

솔루션


Service Provider -Distribution/Edge DDoS ProtectionPremium 전용선 Service & 070 인터넷전화보호

Peer Point

Peer Point

ISP-A

ISP-B

Core

POP

POP

POP

POP

가입자 A

ISP-IDC Center

Premium가입자

Detector

Monitoring

Monitoring

Guard

iBGPHijacking

Injection

1

1

2

NotificationSSL or SSH

3

4

구성장비

• Detector

Cisco ADXT5650 4set 이상

- 8Gbps 이상 Monitoring

• Guard

Cisco AGXT5650 4set 이상-4Gbps 이상실시간 Defense

적용기술

• Detector

Port Mirroring

• Guard

iBGP HijackingVRF or PBR or GRE InjectionMVP Filtering�Pr

emium 전

용선Serv

ice

�070 인

터넷전화

보호

SIP Server Cluster


Service Provider - Centralized DDoS ProtectionISP 자체망보호솔루션

Peer Point

Peer Point

ISP-A

ISP-B

Core

POP

POP

POP

POP

가입자 A

ISP-IDC Center

Premium가입자

GuardClusterInjection

1

NotificationSSL or SSH

Narus NSSController

Narus NSS Narus NSS

Narus NSS

Narus NSSNarus NSS

SampledNetflow

SampledNetflow

SampledNetflow

SampledNetflow

SampledNetflow

SampledNetflow

1

1

1

1

1

2

수집

3 Notification

4

5

iBGPHijacking

Injection

�SP Inf

ra 보호 솔루션

�SLA 서

비스보호

솔루션

NSSNSS

NSS

NSS

NSS

NSS

NSS


결론


Why Cisco Guard/Detector

신뢰성성능

서비스

� 최대 16Gbps 까지 DDoS 방어 가능

� 실시간 10만개 이상 HTTP 좀비 방어

� 다양한 포트 타입 제공

� 백 만개 이상 공격자 방어

� 해외 유명 ISP,Enterprise 고객

� 국내 20여개 이상의 Reference

� Cisco7600/6500 기반의

신뢰성 높은 구성 제공

� 서비스 지연 1msec 이하

� Passive 구성

� 장애 시 즉각 우회

� DDoS Traffic 만을 우회 하여 성능극대화

디자인

� Managed SVC 구성 가능 – 통합툴 제공

� 가상화 존 구성을 통한 정밀한 구성

� ISP/Enterprise/포털

서비스 망 구성등에 적합

cisco ddos 방어솔루션 · 게임아이템거래사이트, ‘ddos 공격 툴’에 휘둘렸다...

Documents