[김나영의 보안 분석] 인증 기반의 DDoS 방어기술 분석

뉴스홈 > 칼럼
[김나영의 보안 분석] 인증 기반의 DDoS 방어기술 분석김나영 이글루시큐리티 사이버위협분석팀 과장

[아이티데일리] 최근 몇 년 사이에 DDoS(디도스) 공격 트래픽이 대형화되고 공격 유형 또한 지능화 되면서 방화벽(F/W) 및 침입방지시스템(IPS)과 같은 보안장비를 이용한 DDoS 공격 방어에 한계가 노출되어, 보다 효과적으로 방어하기 위한 Anti-DDoS 전용 대응장비들이 출시되었다.

Anti-DDoS 대응장비의 DDoS 방어 기술은 유입되는 트래픽 내 특정 패턴 검사를 통한 시그니쳐 기반 방어기술, 프로토콜 및 서비스 트래픽량(BPS, PPS) 증가에 따른 임계치 기반 방어기술, Client와 Server간 통신과정 중 인증을 통한 인증 기반 방어기술 등이 존재하며 이번 칼럼을 통해 인증기반 방어기술에 대한 주요기술을 알아보겠다.

인증기반의 DDoS 방어기술은 <그림 1>과 같이 Anti-DDoS 대응장비가 Client와 Server간 통신 중간에 위치하여 Client에 대한 인증을 수행하며, 전송 레벨에서 인증을 수행하는 TCP SYN Authentication과 서비스 레벨에서 인증을 수행하는 HTTP Authentication 기술을 통해 정상 사용자와 DDoS 공격자를 구분한다.

▲ <그림 1> 인증기반의 DDoS 대응기술

1. TCP SYN Authentication

전송레벨에서 인증을 수행하는 TCP SYN Authentication은 TCP Reset과 TCP Out-of-Sequence를 이용한 인증 방법이 존재한다.

TCP Reset을 이용한 인증 방법은 <그림 2>와 같이 Anti-DDoS 대응장비가 Client와 Server간 TCP 연결설정(3Way-Handshake) 과정을 Server 대신 설정하고 연결해제(RST) 함으로써 Client를 인증한다. 이때 정상적인 사용자는 운영체제에 설정된 TCP 재연결시도 횟수만큼 연결 시도함으로써 Server와 통신이 이루어지며 재연결 시도가 없는 사용자는 DDoS 공격자로 판단되어 Anti-DDoS 대응장비에 차단된다.

▲ <그림 2> TCP SYN Authentication(TCP Reset) 절차

TCP Out-of-Sequence을 이용한 인증 방법은 <그림 3>과 같이 Client의 연결설정 과정 시 Anti-DDoS 대응장비가 SYN에 대한 잘못된 ACK 번호를 전송함으로써 고의적인 연결해제 상황을 만들어 Client를 인증한다. 이때 정상 사용자는 TCP 재연결 시도를 하며 연결 시도가 없는 사용자는 Anti-DDoS 대응장비에 차단된다.

▲ <그림 3> TCP SYN Authentication(TCP out-of-sequence) 절차

2. HTTP Authentication

웹 서비스레벨에서 인증을 수행하는 HTTP Authentication은 HTTP 응답코드를 이용한 302 Redirect, 웹브라우저의 쿠키처리를 이용한 Cookie 인증, 스크립트 처리를 이용한 Javascript 인증 방법이 존재한다.

HTTP 302 Redirect는 <그림 4>와 같이 Anti-DDos 대응장비가 Client의 GET 요청을 받아 302 redirect 코드와 Location 정보를 응답하고 Client가 해당 응답에 대한 Location 정보를 참조하면 Client를 인증한다. 이때 웹브라우저를 통해 접근한 사용자는 302 Redirect 처리 후 Server와 정상적인 통신을 수행하지만 웹브라우저를 사용하지 않고 접근한 사용자는 302 Redirect를 처리하지 못함에 따라 DDoS 공격자로 판단되어 Anti-DDoS 대응장비에 차단된다.

▲ <그림 4> HTTP Authentication(HTTP 302 Redirect) 절차

HTTP Cookie는 웹브라우저의 Cookie 처리 기능을 이용한 인증 방법으로 <그림 5>와 같이 앞서 설명한 HTTP 302 Redirect 인증 방법에 Cookie 값을 부여하여 Client를 인증한다. 이때 정상적인 사용자라면 Anti-DDoS 대응장비가 부여한 Cookie 값을 이용해 접근 할 것이며 Cookie 값을 처리하지 못한 사용자는 Anti-DDoS 대응장비에 차단된다.

▲ <그림 5> HTTP Authentication(HTTP Cookie) 절차

Javascript 인증은 웹브라우저의 스크립트 문서처리를 이용한 인증 방법으로 <그림 6>과 같이 Anti-DDoS 대응장비가 Javascript를 Client에게 전달하여 사용자의 처리 여부에 따라 Client를 인증한다. 이때 전달되는 Javascript 문서는 사용자로 하여금 특정 메시지 전송 및 마우스 클릭 등을 요구할 수 있으며 해당 문서를 처리하지 못한 사용자는 DDoS 공격자로 판단하여 Anti-DDoS 대응장비에 차단된다.

▲ <그림 6> HTTP Authentication(Javascript 인증) 절차

지금까지 Anti-DDos 대응장비의 방어기술 중 DDoS 공격 발생시 Client의 인증을 통해 공격자를 차단하는 인증 기반의 DDoS 방어기술을 알아보았다. 이러한 방어기술은 스푸핑 된 공격 또는 프로그래밍 된 봇넷 및 공격도구를 이용한 DDoS 공격을 손쉽게 방어 할 수 있다. 하지만 Anti-DDoS 대응장비의 방어측면에서는 보호 서버에 접근하는 모든 Client를 대상으로 인증처리를 수행함에 따라 고용량의 처리 기술이 요구된다.

2014년 09월 15일(월) 11:37:43 김나영 nykim@igloosec.com 메일보내기 ㅣ 기자의 다른 기사보기

카테고리별 최신뉴스

종합/정책
[인사] 과학기술정보통신부 국·과장급 전보 법무부 ‘변호사 전자민원시스템’ 구축 내년 국가정보화에 5조 1,687억 원 투자…전년비 11.5%↑ 금융보안원 등 9개 기관, 데이터 3법 조속한 국회통과 촉구

비즈니스IT
블로코, ‘2019 블록체인 시장 동향 보고서’ 발표 SAS코리아-LG CNS, 소셜 데이터 분석 시장 공략 ‘맞손’ 티맥스오에스-라이브애플리케이션, 플러그인 없는 보안 웹브라우저 개발 ‘맞손’ 엘라스틱, ‘엘라스틱 스택 7.5버전’ 출시

보안/해킹
“분산 클라우드·IoT·5G 위한 아태지역 SP 보안 인프라 확장 시급” DID 얼라이언스, 글로벌 표준화 활동 본격화 SSD시큐어디스클로저, 보안 컨퍼런스 ‘타이푼콘 2020’ 내년 6월 서울서 개최 KISA, 디지털헬스케어 정보보호 협의체 구성 추진

모바일
LG유플러스, 5G 인빌딩 품질 높인다 LGU+·국토지리정보원, 실시간 고정밀측위 서비스 협력 착한텔레콤, 스카이 무선이어폰 ‘스카이 핏 엑스’ 출시 내년 글로벌 무선이어폰 시장, 2억 3천만 대 전망

컴퓨팅
인텔, 양자 컴퓨팅용 큐비트 제어 칩 ‘호스 리지’ 발표 MS, 모던 워크플레이스 구현 위한 ‘서피스’ 신제품 2종 공개 디딤365, 11월 공공부문 클라우드 이용계약 실적 11% 증가 AWS, 하이브리드 환경 경험 가능한 ‘AWS 아웃포스트’ 출시

문화
에픽게임즈, 언리얼 엔진 4.24 출시 바이비트 ‘글로벌 BTC대회’ 상금 5% 세이브더칠드런 기부 디센터넷, 보안기술 개선한 VPN 무료 서비스 시행 예정 레이저, 그라비티 글로벌 파트너십 체결