[김나영의 보안 분석] 인증 기반의 DDoS 방어기술 분석

뉴스홈 > 칼럼
[김나영의 보안 분석] 인증 기반의 DDoS 방어기술 분석김나영 이글루시큐리티 사이버위협분석팀 과장

[아이티데일리] 최근 몇 년 사이에 DDoS(디도스) 공격 트래픽이 대형화되고 공격 유형 또한 지능화 되면서 방화벽(F/W) 및 침입방지시스템(IPS)과 같은 보안장비를 이용한 DDoS 공격 방어에 한계가 노출되어, 보다 효과적으로 방어하기 위한 Anti-DDoS 전용 대응장비들이 출시되었다.

Anti-DDoS 대응장비의 DDoS 방어 기술은 유입되는 트래픽 내 특정 패턴 검사를 통한 시그니쳐 기반 방어기술, 프로토콜 및 서비스 트래픽량(BPS, PPS) 증가에 따른 임계치 기반 방어기술, Client와 Server간 통신과정 중 인증을 통한 인증 기반 방어기술 등이 존재하며 이번 칼럼을 통해 인증기반 방어기술에 대한 주요기술을 알아보겠다.

인증기반의 DDoS 방어기술은 <그림 1>과 같이 Anti-DDoS 대응장비가 Client와 Server간 통신 중간에 위치하여 Client에 대한 인증을 수행하며, 전송 레벨에서 인증을 수행하는 TCP SYN Authentication과 서비스 레벨에서 인증을 수행하는 HTTP Authentication 기술을 통해 정상 사용자와 DDoS 공격자를 구분한다.

▲ <그림 1> 인증기반의 DDoS 대응기술

1. TCP SYN Authentication

전송레벨에서 인증을 수행하는 TCP SYN Authentication은 TCP Reset과 TCP Out-of-Sequence를 이용한 인증 방법이 존재한다.

TCP Reset을 이용한 인증 방법은 <그림 2>와 같이 Anti-DDoS 대응장비가 Client와 Server간 TCP 연결설정(3Way-Handshake) 과정을 Server 대신 설정하고 연결해제(RST) 함으로써 Client를 인증한다. 이때 정상적인 사용자는 운영체제에 설정된 TCP 재연결시도 횟수만큼 연결 시도함으로써 Server와 통신이 이루어지며 재연결 시도가 없는 사용자는 DDoS 공격자로 판단되어 Anti-DDoS 대응장비에 차단된다.

▲ <그림 2> TCP SYN Authentication(TCP Reset) 절차

TCP Out-of-Sequence을 이용한 인증 방법은 <그림 3>과 같이 Client의 연결설정 과정 시 Anti-DDoS 대응장비가 SYN에 대한 잘못된 ACK 번호를 전송함으로써 고의적인 연결해제 상황을 만들어 Client를 인증한다. 이때 정상 사용자는 TCP 재연결 시도를 하며 연결 시도가 없는 사용자는 Anti-DDoS 대응장비에 차단된다.

▲ <그림 3> TCP SYN Authentication(TCP out-of-sequence) 절차

2. HTTP Authentication

웹 서비스레벨에서 인증을 수행하는 HTTP Authentication은 HTTP 응답코드를 이용한 302 Redirect, 웹브라우저의 쿠키처리를 이용한 Cookie 인증, 스크립트 처리를 이용한 Javascript 인증 방법이 존재한다.

HTTP 302 Redirect는 <그림 4>와 같이 Anti-DDos 대응장비가 Client의 GET 요청을 받아 302 redirect 코드와 Location 정보를 응답하고 Client가 해당 응답에 대한 Location 정보를 참조하면 Client를 인증한다. 이때 웹브라우저를 통해 접근한 사용자는 302 Redirect 처리 후 Server와 정상적인 통신을 수행하지만 웹브라우저를 사용하지 않고 접근한 사용자는 302 Redirect를 처리하지 못함에 따라 DDoS 공격자로 판단되어 Anti-DDoS 대응장비에 차단된다.

▲ <그림 4> HTTP Authentication(HTTP 302 Redirect) 절차

HTTP Cookie는 웹브라우저의 Cookie 처리 기능을 이용한 인증 방법으로 <그림 5>와 같이 앞서 설명한 HTTP 302 Redirect 인증 방법에 Cookie 값을 부여하여 Client를 인증한다. 이때 정상적인 사용자라면 Anti-DDoS 대응장비가 부여한 Cookie 값을 이용해 접근 할 것이며 Cookie 값을 처리하지 못한 사용자는 Anti-DDoS 대응장비에 차단된다.

▲ <그림 5> HTTP Authentication(HTTP Cookie) 절차

Javascript 인증은 웹브라우저의 스크립트 문서처리를 이용한 인증 방법으로 <그림 6>과 같이 Anti-DDoS 대응장비가 Javascript를 Client에게 전달하여 사용자의 처리 여부에 따라 Client를 인증한다. 이때 전달되는 Javascript 문서는 사용자로 하여금 특정 메시지 전송 및 마우스 클릭 등을 요구할 수 있으며 해당 문서를 처리하지 못한 사용자는 DDoS 공격자로 판단하여 Anti-DDoS 대응장비에 차단된다.

▲ <그림 6> HTTP Authentication(Javascript 인증) 절차

지금까지 Anti-DDos 대응장비의 방어기술 중 DDoS 공격 발생시 Client의 인증을 통해 공격자를 차단하는 인증 기반의 DDoS 방어기술을 알아보았다. 이러한 방어기술은 스푸핑 된 공격 또는 프로그래밍 된 봇넷 및 공격도구를 이용한 DDoS 공격을 손쉽게 방어 할 수 있다. 하지만 Anti-DDoS 대응장비의 방어측면에서는 보호 서버에 접근하는 모든 Client를 대상으로 인증처리를 수행함에 따라 고용량의 처리 기술이 요구된다.

2014년 09월 15일(월) 11:37:43 김나영 nykim@igloosec.com 메일보내기 ㅣ 기자의 다른 기사보기

카테고리별 최신뉴스

종합/정책
한국SW산업협회, 광주·전남 지역 협의회 발족 “산‧학‧연 함께 효과적인 SW진흥법 활용 방안 찾는다” 개인정보보호 현안 대응 위해 정부기관 벽 허문다 [글로벌] 트럼프 대통령, 바이트댄스의 틱톡 지배 여전 ‘불만’

비즈니스IT
네이버, SW교육 플랫폼 ‘엔트리’ 회원 수 200만 돌파 카카오엔터, ‘카카오톡’ UI 활용한 업무 플랫폼 선봬 데이터스트림즈, 빅데이터와 딥러닝 기술 이용한 도메인 자동추천 기술 특허 등록 한컴위드-네이버, 사설인증 시장 선점 나선다

보안/해킹
하반기 취업시즌 노리는 랜섬웨어…첨부파일 열 때 주의해야 지란지교시큐리티, 에스원과 ‘다큐원 클라우드’ 공동 영업 추진 비트디펜더, ‘비트디펜더 토털 시큐리티’ 한글 버전 출시 케이디시스, 아크서브 백업 시스템 공급 활기

모바일
[글로벌] 애플, 신형 애플워치로 ‘건강’과 ‘구독’ 주력한다 LG전자, 전략 스마트폰 ‘LG 윙’ 공개…시장 판도 바꿀까? [글로벌] 샤오미 저가 스마트폰 ‘포코’...“가성비로 승부한다” [글로벌] 애플, 아이폰12 없는 신제품 이벤트 15일 개최

컴퓨팅
[글로벌] 세계 우량 비공개 클라우드, 코로나 와중에도 성장 구글 클라우드, ‘컨피덴셜 컴퓨팅’ 포트폴리오 확장 주니퍼네트웍스, 공항철도 통신망 시스템에 통신설비 구축 [이슈] 차세대 데이터센터는 바다로?…MS, ‘나틱 프로젝트’ 2단계 결과 공개

문화
캐럿펀트, 매장문화재 실측 소프트웨어 ‘아치 3D’ 출시 [신간] 현장 컨설턴트가 알려주는 디지털 트랜스포메이션 [신간] AI 사고를 위한 인공지능 랩 [글로벌] 포트나이트, 엔비디아와 공조, 게임속도 배가