DDoS 공격을 당해 서비스 불능 상태에 빠지는 네트워크 기관보다도 오히려
DDoS 공격에 master나 agent로 이용당한 도메인 기관의 명예는 크게 실추되게 됩니다.
보안이 취약했다는 불명예는 물론이고 자칫 DDoS 공격자로 의심받을 수도 있습니다.
결국 이러한 불명예를 벗을 유일한 방법은 해킹을 당하지 않는 것 뿐입니다.
또한 해킹을 당하더라도 주기적인 점검과 모니터링을 통하여 침입자가 심어놓은
불법적인 프로그램들을 제거하는 것이 유일한 대책입니다. |
 |
| 다음은 DDoS 공격의 피해를 최소화 하기 위한 몇 가지 방법입니다. |
|
 |
라우터에서의 공격주소에 의한 차단 |
|
대규모 데이터를 보내는 DDoS 공격을 막기 위해서는 네트워크 차원에서의
접근통제가 필요하고 공격 주소로부터의 모든 패킷을 차단해야 합니다.
그러나 DDoS 공격의 특성상 공격자 주소는 하나가 아닌 수십 수백개가 될 수 있고
위장된 주소일 가능성도 있으며, 공격이 시작된 후 네트워크에 이상이 생기기까지
시간이 얼마 걸리지 않기 때문에 주소단위로 차단하는 것은 쉽지 않습니다. |
|
 |
라우터의 ingress 필터링 기능 |
|
ingress는 외부 인터넷으로부터 들어오는 패킷을 의미하며, egress는
내부 네트워크에서 외부로 나가는 패킷을 말합니다. ingress 필터링이란 지정한
IP(도메인)로부터의 패킷만이 라우터를 통과하게끔 패킷 필터링을 하는 것이며,
지정되지 않은 IP로부터의 패킷은 모두 drop됩니다. |
|
 |
Cisco 라우터에서의 Unicast RPF를 이용한 차단 |
|
Cisco 라우터에서 제공하는 Unicast Reverse Path Forwarding 기능은
Source IP주소가 spoofing된 DoS 공격을 하는 것을 막아주는데 사용될 수 있습니다.
Unicast RPF는 라우터로 패킷이 들어올 때 패킷의 input interface로의
reverse path route가 존재하는지 확인하여 reverse path route가 존재하면 패킷을
통과시키고, 존재하지 않으면 그 패킷을 source IP address가 spoofing된
패킷으로 보아 drop시킵니다. |
|
 |
라우터에서 RFC 1918 지정 IP에서 들어오는 패킷 차단 |
|
RFC 1918에서 지정한 IP라는 것은 DHCP, NAT 등의 내부의 가상 IP를 사용할 때
쓰이는 IP로서, 이러한 IP를 source IP address로 하여 라우터를 통해 외부로부터
패킷이 들어올 일은 전혀 없습니다. 이 IP를 source IP로 들어오는 패킷이 있다면
그것은 source IP spoofing된 DDoS 공격 또는 침입시도 패킷 뿐입니다. |
|
 |
라우터의 Committed Access Rate (CAR) 기능 |
|
단위시간 동안 일정량 이상의 패킷이 라우터로 들어올 경우, 일정량 이상의 패킷은
통과시키지 않도록 하는 기능을 CAR 기능이라 합니다. 이 기능을 이용하여
DDoS 공격 패킷을 Drop시킵니다. |
|
 |
IDS를 이용하여 공격을 신속히 탐지 |
|
각 기관에서 사용되고 있는 침입탐지시스템(IDS)들은 최근 큰 문제가 되고 있는
분산 서비스 거부 공격을 탐지할 수 있는 기능을 가지고 있습니다. |
