[Security News] 중소기업 대상 DDoS 공격 대응 가이드 – DDos 공격 피해 감소 전략

* 본 콘텐츠는 2019년에 작성되었으며 홈페이지 개편으로 인해 새로 업로드된 게시글입니다. 참고 부탁드립니다.

KISA(한국인터넷진흥원)에서 중소기업 대상 DDoS 공격 대응 가이드를 배포했습니다.
▶DDoS공격 대응 가이드 다운로드

해당 가이드는 첨부파일을 통해 다운받으실 수 있습니다.

[핵심내용] DDoS 공격 피해 감소 전략

DDoS 공격이 시도되고 발생할 때 빠른 대응을 가능하게 하여 피해를 최소화한다.

1. 네트워크 서비스 제공 업체에서 제공하는 DDoS 방어 서비스를 알고 있어야 한다.

2. DDoS 공격의 경우, 네트워크 서비스 제공 업체에서 조치하는 것이 대응이 빠르다.

3. DDoS 공격에 대한 방어서비스를 계약하는 것을 고려한다.

4. DDoS 공격이 발생하면 네트워크 서비스 제공 업체에 공격 IP 주소를 제공한다.

5. 허용된 트래픽과 거부된 트래픽에 대한 방화벽 로그를 확인하여 DDoS 공격 발생 위치를 확인한다.

6. 방화벽 및 프록시 서버와 같은 주변 장치에서 “TCP keepalive” 및 “최대 연결”을 설정하여 SYN Flood 공격을 예방한다.

7. 네트워크 서비스 제공 업체에서 포트 및 패킷 크기 필터링이 가능한지 확인하여 설정 한다.

8. 공개 웹사이트의 기본 트래픽 패턴(볼륨 및 유형)을 파악하고, 이상 패턴이 발생하는지 정기적으로 확인한다.

9. 네트워크/보안 장비의 패치는 적절한 테스트 및 검증을 거친 후 적용한다.

10. 예약된 IP 주소(0/8), 루프백(127/8), 사설(RFC 1918 블록 10/8, 172.16/12 및 192.168/16), 할당되지 않은 DHCP 클라이언트(169.254.0/16), 멀티캐스트(224.0.0/4) 및 RFC 5735에 나열된 다른 주소에서 출발되는 인바운드 트래픽을 차단하도록 방화벽을 구성한다. 이 구성은 네트워크 서비스 제공 업체에도 요청되어야 한다.

11. 비즈니스 목적에 필요한 프로세스와 네트워크 대역폭을 파악하고, 서버에 설정을 반영한다.

12. 비즈니스 목적과 보안 정책을 고려하여 방화벽 설정을 한다.

13. 이상 징후 발생 시 즉시 인지할 수 있도록 방화벽 및 침입 탐지 서비스를 구성한다.

14. DDoS 공격으로 네트워크 서비스 장애가 발생할 것을 대비하여, 대체 연결 수단을 준비한다.

15. 중소기업 대상으로 DDoS 공격 대응 서비스를 무료로 제공하고 있는 [DDoS 사이버대피소] 이용을 고려한다.

※이용문의 : 02-405-4769 http://www.boho.or.kr “보안서비스 > 사이버대피소”

PART1 개요

PART2 일반적인 DDoS 공격형태

– SYN Flood

– UDP Flood

– ICMP Flood

– HTTP GET Flood

PART3 반사 DdoS 공격형태

– SYN+ACK 반사 공격

– NTP 반사 및 증폭 공격

– DNS 반사 및 증폭 공격

– CLDAP 반사 및 증폭 공격

PART4 DDoS 공격 피해 감소 전략

– 본문 일부 –

일반적인 DDoS 공격은 공격자가 공격 대상 서버 및 네트워크에 직접 많은 양의 악의적인 트래픽을 전송할 때 발생한다. 공격자가 할 수 있는 공격 방법 중 하나는 봇넷을 이용하여 트래픽을 전송하는 것이다. 봇넷은 공격 도구로 이용하기 위한 악성코드에 감염된 수 많은 좀비(숙주)시스템이며 인터넷을 통해 연결되어 서로 통신하고 제어할 수 있다. [그림 1-1]에서 알 수 있듯이 공격자가 봇넷을 사용하여 DDoS를 수행하면 봇넷에 연결된 좀비들 중 일부 또는 전부가 공격을 수행하게 된다. 따라서 DDoS는 피해자 리소스에 과부하를 유도하게끔 규모를 확대하게 되어 여러 네트워크에서 발생하게 되고 가능한 여러 국가에서 발생 하는 것이다.