[김나영의 보안 분석] 인증 기반의 DDoS 방어기술 분석

뉴스홈 > 칼럼
[김나영의 보안 분석] 인증 기반의 DDoS 방어기술 분석김나영 이글루시큐리티 사이버위협분석팀 과장

[아이티데일리] 최근 몇 년 사이에 DDoS(디도스) 공격 트래픽이 대형화되고 공격 유형 또한 지능화 되면서 방화벽(F/W) 및 침입방지시스템(IPS)과 같은 보안장비를 이용한 DDoS 공격 방어에 한계가 노출되어, 보다 효과적으로 방어하기 위한 Anti-DDoS 전용 대응장비들이 출시되었다.

Anti-DDoS 대응장비의 DDoS 방어 기술은 유입되는 트래픽 내 특정 패턴 검사를 통한 시그니쳐 기반 방어기술, 프로토콜 및 서비스 트래픽량(BPS, PPS) 증가에 따른 임계치 기반 방어기술, Client와 Server간 통신과정 중 인증을 통한 인증 기반 방어기술 등이 존재하며 이번 칼럼을 통해 인증기반 방어기술에 대한 주요기술을 알아보겠다.

인증기반의 DDoS 방어기술은 <그림 1>과 같이 Anti-DDoS 대응장비가 Client와 Server간 통신 중간에 위치하여 Client에 대한 인증을 수행하며, 전송 레벨에서 인증을 수행하는 TCP SYN Authentication과 서비스 레벨에서 인증을 수행하는 HTTP Authentication 기술을 통해 정상 사용자와 DDoS 공격자를 구분한다.

▲ <그림 1> 인증기반의 DDoS 대응기술

1. TCP SYN Authentication

전송레벨에서 인증을 수행하는 TCP SYN Authentication은 TCP Reset과 TCP Out-of-Sequence를 이용한 인증 방법이 존재한다.

TCP Reset을 이용한 인증 방법은 <그림 2>와 같이 Anti-DDoS 대응장비가 Client와 Server간 TCP 연결설정(3Way-Handshake) 과정을 Server 대신 설정하고 연결해제(RST) 함으로써 Client를 인증한다. 이때 정상적인 사용자는 운영체제에 설정된 TCP 재연결시도 횟수만큼 연결 시도함으로써 Server와 통신이 이루어지며 재연결 시도가 없는 사용자는 DDoS 공격자로 판단되어 Anti-DDoS 대응장비에 차단된다.

▲ <그림 2> TCP SYN Authentication(TCP Reset) 절차

TCP Out-of-Sequence을 이용한 인증 방법은 <그림 3>과 같이 Client의 연결설정 과정 시 Anti-DDoS 대응장비가 SYN에 대한 잘못된 ACK 번호를 전송함으로써 고의적인 연결해제 상황을 만들어 Client를 인증한다. 이때 정상 사용자는 TCP 재연결 시도를 하며 연결 시도가 없는 사용자는 Anti-DDoS 대응장비에 차단된다.

▲ <그림 3> TCP SYN Authentication(TCP out-of-sequence) 절차

2. HTTP Authentication

웹 서비스레벨에서 인증을 수행하는 HTTP Authentication은 HTTP 응답코드를 이용한 302 Redirect, 웹브라우저의 쿠키처리를 이용한 Cookie 인증, 스크립트 처리를 이용한 Javascript 인증 방법이 존재한다.

HTTP 302 Redirect는 <그림 4>와 같이 Anti-DDos 대응장비가 Client의 GET 요청을 받아 302 redirect 코드와 Location 정보를 응답하고 Client가 해당 응답에 대한 Location 정보를 참조하면 Client를 인증한다. 이때 웹브라우저를 통해 접근한 사용자는 302 Redirect 처리 후 Server와 정상적인 통신을 수행하지만 웹브라우저를 사용하지 않고 접근한 사용자는 302 Redirect를 처리하지 못함에 따라 DDoS 공격자로 판단되어 Anti-DDoS 대응장비에 차단된다.

▲ <그림 4> HTTP Authentication(HTTP 302 Redirect) 절차

HTTP Cookie는 웹브라우저의 Cookie 처리 기능을 이용한 인증 방법으로 <그림 5>와 같이 앞서 설명한 HTTP 302 Redirect 인증 방법에 Cookie 값을 부여하여 Client를 인증한다. 이때 정상적인 사용자라면 Anti-DDoS 대응장비가 부여한 Cookie 값을 이용해 접근 할 것이며 Cookie 값을 처리하지 못한 사용자는 Anti-DDoS 대응장비에 차단된다.

▲ <그림 5> HTTP Authentication(HTTP Cookie) 절차

Javascript 인증은 웹브라우저의 스크립트 문서처리를 이용한 인증 방법으로 <그림 6>과 같이 Anti-DDoS 대응장비가 Javascript를 Client에게 전달하여 사용자의 처리 여부에 따라 Client를 인증한다. 이때 전달되는 Javascript 문서는 사용자로 하여금 특정 메시지 전송 및 마우스 클릭 등을 요구할 수 있으며 해당 문서를 처리하지 못한 사용자는 DDoS 공격자로 판단하여 Anti-DDoS 대응장비에 차단된다.

▲ <그림 6> HTTP Authentication(Javascript 인증) 절차

지금까지 Anti-DDos 대응장비의 방어기술 중 DDoS 공격 발생시 Client의 인증을 통해 공격자를 차단하는 인증 기반의 DDoS 방어기술을 알아보았다. 이러한 방어기술은 스푸핑 된 공격 또는 프로그래밍 된 봇넷 및 공격도구를 이용한 DDoS 공격을 손쉽게 방어 할 수 있다. 하지만 Anti-DDoS 대응장비의 방어측면에서는 보호 서버에 접근하는 모든 Client를 대상으로 인증처리를 수행함에 따라 고용량의 처리 기술이 요구된다.

2014년 09월 15일(월) 11:37:43 김나영 nykim@igloosec.com 메일보내기 ㅣ 기자의 다른 기사보기

카테고리별 최신뉴스

종합/정책
행정안전부, 첨단과학 활용한 재난안전기술 개발에 654억 원 투자 국내 빅데이터·분석 시장, 2023년 2조5692억원 규모 전망 행정안전부, 디지털 정부 전환 위한 ‘클라우드 플랫폼’ 개발 착수 플리토, 새해 ‘외국어 공부’ 응원 위한 SNS 이벤트 개최

비즈니스IT
삼성SDS, 글로벌 IT서비스 기업 브랜드 가치 11위 기록 아이앱스온, 실시간 다국어 통·번역 메신저 ‘아이밍’ 출시 비투엔, 데이터3법 통과 대응위해 데이터 서비스 확대 마인즈랩, 두 번째 ‘에코마인즈 밋업’ 성료

보안/해킹
일상으로 다가온 ‘마이데이터 서비스’…데이터3법 통과로 활성화 기대 파이어아이 맨디언트, 클라우드 보안 평가 서비스 출시 금융보안원, ‘핀테크와 금융보안’ 현장 간담회 개최 라온시큐어, 병무청과 ‘블록체인 간편인증’ 서비스 오픈

모바일
‘리브엠’ 가입자 93%가 무제한 요금제…MVNO 시장 성장 견인 KT, 다보스 포럼서 ‘글로벌 디지털 경제 혁신 방안’ 제시 KT엠모바일, 설맞이 고객 감사 프로모션 진행 스카이, 무선 충전 보조배터리 출시…1천대 한정 14,900원

컴퓨팅
퀀텀코리아, NVMe 스토리지 ‘F1000’ 발표 현대오토에버, 2020 신입사원 얼리버드 채용 진행 에이수스, AMD 라데온 RX 5600XT GPU 기반 그래픽카드 3종 출시 AMD, RDNA 아키텍처 기반 그래픽카드 ‘라데온 RX 5600 XT’ 출시

문화
라이엇게임즈, ‘레전드 오브 룬테라’ 25일 OBT 시작 공게임즈, 신작 ‘이사만루3’ 사전예약 돌입 넷마블, 모바일 배틀로얄 RPG ‘A3: 스틸얼라이브’ 3월 출시 MS, ‘프로젝트 엑스클라우드’ 국내 시범 서비스 대폭 확대