Untitled

■ 공격유형에 따른 차단정책 정의 및 대응● 대역폭 소진 공격 대응 방안- 공격 유형 : UDP Flooding, ICMP Flooding- 대응 방안 : 웹서버 망을 보호하는 방화벽이나 웹서버망 상단에 위치한 라우터에서 해당 프로토콜을차단하도록 ACL 설정※ 단, 상단 라우터에서 ACL을 적용하기 위해서는 ISP의 협력이 필요하며, 보호대상 웹사이트의 UDP, ICMP 서비스 제공필요여부 확인해야 함· UDP, ICMP Protocol 전체를 차단하는 ACL 설정(CISCO 장비 기준)router(config)#access-list 100 deny udp any anyrouter(config)#access-list 100 deny icmp any anyrouter(config)#access-list 100 permit ip any anyrouter(config)#interface g0/0/0router(config-if)#ip access-group 100 in● 대역폭 소진 공격 대응 방안- 공격 유형 : TCP Flooding- 대응 방안 : 대용량 TCP Flooding 공격은 프로토콜 기준으로 차단하는데 한계가 있어 소스 IP(SourceIP)별로 pps 임계치를 설정※ 임계치 기준은 대상 사이트의 특성을 고려하여 PPS 또는 Connection Count를 활용할 수 있음. 이 경우 획일화된 임계치기준은 없으므로 사전에 사이트에 대한 특성 고려 필요· 차단방법1) L7 Switch장비를 운영하는 경우, 설정방법- 대용량 TCP 트래픽 발생 시 HTTP Header Size를 설정하여 차단할 수 있으며, 이 때 공격 트래픽은 Origin Server로 흐르지 않음2) Anti-DDoS 장비를 사용하는 경우, 설정방법- pps 임계치를 설정할 대역폭을 선택한 후 Flooding 방어 설정에서 pps 임계치 적용, 사이트 및 공격 특성에 따라 pps 값을 적용1) L7 Switch장비를 운영하는 경우, 설정방법- 대용량 TCP 트래픽 발생 시 HTTP Header Size를 설정하여 차단할 수 있으며, 이 때 공격 트래픽은 Origin Server로 흐르지 않음2) Anti-DDoS 장비를 사용하는 경우, 설정방법- pps 임계치를 설정할 대역폭을 선택한 후 Flooding 방어 설정에서 pps 임계치 적용, 사이트 및 공격 특성에 따라 pps 값을 적용● 웹서버 자원 소모 공격 대응 방안- 공격 유형 : Syn(Ack/Fin) Flooding- 대응 방안 : 웹서버 OS의 TCP 스택(Stack) 자원을 소모하는 특징이 있으므로 1소스 IP별로 PPS 임계치를 설정하거나 2패킷 헤더 검사를 통해 정상적인 옵션 필드값을 가지지 않는 비정상 패킷 차단036