ÀÎÅͳݻ󿡼 ¼öõ °¡ÁöÀÇ ¾ÖÇø®ÄÉÀ̼ǵéÀÌ Á¦°øµÈ ÀÌÈÄ·Î °ø°ÝÀÚµéÀº Á¤»ó Æ®·¡Çȵé°ú °ÅÀÇ ¶È°°Àº ÇüÅÂÀÇ °ø°ÝÀ» ¸¸µé¾î ³¾ ¼ö ÀÖ°Ô µÆ´Ù. ÀÌ·¯ÇÑ DDoS °ø°ÝÀº ºÐº°ÇϱⰡ ¸Å¿ì ¾î·Æ´Ù. °ÅÀÇ ´ëºÎºÐÀÇ °ø°ÝµéÀº º¸Åë 1,000´ë¿¡¼ 10,000´ëÀÇ ÄÄÇ»ÅÍ¿Í ÇÔ²² ÀÌ·ç¾îÁø´Ù. ÀÌ·¯ÇÑ Attacking ÄÄÇ»Å͵éÀº ¾ÇÀÇÀûÀÎ Äڵ忡 ÀÇÇØ Á¡À¯µÇ¾ú±â ¶§¹®¿¡ º¿(Bot)À̶ó°í ºÎ¸¥´Ù. ±×¸®°í ±×°ÍµéÀº °ø°ÝÀÚµéÀÇ ¸í·É¿¡ ÀÇÇؼ ½ÇÁ¦ °ø°ÝÀ» ÇÏ°Ô µÉ °ÍÀÌ´Ù. ½ÇÁ¦·Î ¼ö¸¹Àº Attacking ÄÄÇ»Å͵éÀº °ø°Ý¿¡ »ç¿ëµÇ°í ÀÖÀ¸¸ç ÀÌ·¯ÇÑ °ÍµéÀ» ¹æ¾îÇÏ´Â °ÍÀº »ó´çÈ÷ ¾î·Æ´Ù. ÀÌ ±Û¿¡¼´Â Intrusion System°ú DDoS SystemÀÇ Â÷ÀÌ¿¡ ´ëÇØ ¾Ë¾Æº»´Ù.
DDoS °ø°ÝÀº Intrusion Attack°ú´Â ´Ù¸£´Ù. ¼ºñ½º °ÅºÎ¸¦ ¸¸µé¾î ³»±â À§Çؼ °ø°ÝÀÚµéÀº ÇÊ¿äÇÏÁö ¾ÊÀº TrafficÀ» VictimÀ¸·Î º¸³»°í ÀÀ´äÀ» ¸¸µé¾î ³»±â ¶§¹®¿¡ Á¤»óÀûÀÎ °í°´ÀÌ ¼ºñ½º¸¦ ÇÒ ¼ö ¾øµµ·Ï ¸Å¿ì ¹Ù»Ú°Ô ¸¸µå´Â ¿øÀÎÀÌ µÈ´Ù.
±âº»ÀûÀ¸·Î Intrusion AttackÀº ÀÎÅÍ³Ý »ó¿¡¼ÀÇ ÀüÅëÀûÀÎ °ø°ÝÀÌ´Ù. Intrusion AttackµéÀº ¸Å¿ì ÀÛÀº ¾çÀÇ Æ®·¡ÇÈÀ» ÀÌ¿ëÇÏ¿© °ø°ÝÀÌ ½ÃÀ۵ȴÙ.
±×·¸±â ¶§¹®¿¡ VictimÀº °ø°ÝÀ» ŽÁöÇÏ´Â °ÍÀÌ ¾î·Á¿ì¸ç Intrusion AttackÀÇ È¿°ú´Â °ø°ÝÀÌ ¼º°øÀûÀ¸·Î ÀÌ·ç¾îÁ³À» ¶§ ºÐ¸íÇÏ°Ô ³ªÅ¸³´Ù.
Áï Intrusion Attack ÀÚü¿¡ ´ëÇÑ ºÎºÐÀÌ ¾Æ´Ï´Ù. ºÒÇàÇÏ°Ôµµ ¿À´Ã³¯ °ÅÀÇ ¸ðµç ½ÃÀåÀÇ Defense Network SystemµéÀº Intrusion Address¸¦ ¸¸µé¾î ³»°í ÀÖ´Ù. ÇÏÁö¸¸ DDoS AttackÀº ¾Æ´Ï´Ù.
ÀÌ·¯ÇÑ Intrusion Defense SystemµéÀº Á¤»óÀûÀÎ Æ®·¡ÇÈÀ» ÅëÇØ ÀÛÀº ¾çÀÇ °ø°Ý ÆÐŶ(Packet)µéÀ» ã¾Æ³»°í ±×°ÍµéÀ» Æı«ÇØ¾ß ÇÑ´Ù. ±×·¯³ª DDoS AttackÀº Æ®·¡ÇÈÀÇ ¾çÀÌ ÀüÅëÀûÀÎ °ø°Ýº¸´Ù´Â Å©±â ¶§¹®¿¡ ±âÁ¸ÀÇ ½Ã½ºÅÛµéÀº ÀÌ·¯ÇÑ »õ·Î¿î DDoS °ø°ÝÀ» ¹ÞÀ¸¸é ½Ã½ºÅÛµ¿ÀÛÀÌ ´À·ÁÁö°Å³ª ¶Ç´Â Æ®·¡ÇÈÀÌ ¸·È÷°í ¾î¶² °æ¿ì¿¡´Â ½Ã½ºÅÛ ÀÚü¿¡ Ä¡¸íÀûÀÎ °á°ú¸¦ °¡Á®¿À°Ô µÈ´Ù.
DDoS °ø°ÝÀÇ Á¤ÀÇ
DDoS °ø°ÝÀ» Á¤ÀÇÇϸé ÀÎÅͳݻóÀÇ ¼ºñ½º ¼¹öµéÀÇ Æ®·¡ÇÈÀ» ¾ÐµµÇÏ¿© Á¤»ó ¼ºñ½º¸¦ Áö¿¬½ÃÅ°´Â È帧À¸·Î Á¤ÀÇÇÒ ¼ö ÀÖ´Ù. ÀÌ´Â ¸Å¿ì °£´ÜÇÏ´Ù. ±×·¯³ª ½ÇÁ¦ DDoS °ø°ÝÀ» Çϱâ À§ÇØ ¿©·¯ °¡Áö À¯ÇüÀÇ ÇüŵéÀ» ¸¸µé¾î ³»´Â °ÍÀº ¸Å¿ì º¹ÀâÇÏ°í ´Ù¾çÇÑ º¯À̸¦ °¡Áö°í ÀÖ´Ù.
ÀÎÅÍ³Ý»ó¿¡ ¼öõ °¡ÁöÀÇ ¾ÖÇø®ÄÉÀ̼ǵéÀÌ Á¦°øµÈ ÀÌÈÄ·Î °ø°ÝÀÚµéÀº Á¤»ó Æ®·¡Çȵé°ú °ÅÀÇ ¶È°°Àº ÇüÅÂÀÇ °ø°ÝÀ» ¸¸µé¾î ³¾ ¼ö ÀÖ°Ô µÇ¾úÀ¸¸ç ÀÌ·¯ÇÑ DDoS °ø°ÝÀ» ºÐº°ÇØ ³½´Ù´Â °ÍÀº ¸Å¿ì ¾î·Æ´Ù. °ÅÀÇ ´ëºÎºÐÀÇ °ø°ÝµéÀº º¸Åë 1,000´ë¿¡¼ 10,000´ëÀÇ ÄÄÇ»ÅÍ¿Í ÇÔ²² ÀÌ·ç¾îÁø´Ù. ÀÌ·¯ÇÑ Attacking ÄÄÇ»Å͵éÀº ¾ÇÀÇÀûÀÎ Äڵ忡 ÀÇÇØ Á¡À¯µÇ¾ú±â ¶§¹®¿¡ º¿(Bot)À̶ó°í ºÎ¸¥´Ù. ±×¸®°í ±×°ÍµéÀº °ø°ÝÀÚµéÀÇ ¸í·É¿¡ ÀÇÇؼ ½ÇÁ¦ °ø°ÝÀ» ÇÏ°Ô µÉ °ÍÀÌ´Ù. ½ÇÁ¦·Î ¼ö¸¹Àº Attacking ÄÄÇ»Å͵éÀº °ø°Ý¿¡ »ç¿ëµÇ°í ÀÖÀ¸¸ç ÀÌ·¯ÇÑ °ÍµéÀ» ¹æ¾îÇÏ´Â °ÍÀº »ó´çÈ÷ ¾î·Æ´Ù.
ÇöÀç ½ÃÀå¿¡¼´Â ÀÌ·¯ÇÑ Attacking Bot¿¡ ´ëÇؼ ÇÏ·ç¿¡ ÇÑ °³ÀÇ BotÀ» USD $0.04 º¸´Ùµµ ÀûÀº ±Ý¾×¿¡ ±¸ÀÔÇÒ ¼ö ÀÖ´Ù. ±×·¸±â ¶§¹®¿¡ ¾î¶² ƯÁ¤ÇÑ À¥ »çÀÌÆ®¸¦ ´Ù¿î½ÃÅ°´Â °ÍÀº ¸Å¿ì ÀûÀº ºñ¿ëÀÌ µé¾î°£´Ù. ÇöÀçÀÇ Bot Software´Â ¼ö¸¹Àº ÇüÅÂÀÇ °ø°ÝÀ» ¸¸µé¾î ³¾ ¼ö ÀÖ´Ù. ºÒ°ú ¼ö ³â Àü¿¡¸¸ Çصµ ¡®SYN Flood Bot¡¯Àº ´ÜÁö SYN Flood Attack¸¸À» Àç»ýÇس´Ù. ÇÏÁö¸¸ ¿À´Ã³¯ ±×°ÍÀº 20°¡Áö ÀÌ»óÀÇ ´Ù¸¥ ÇüÅ·ΠBotÀ» ¸¸µé¾î ³¾ ¼ö ÀÖµµ·Ï ÁøȵǾú´Ù.
ÀÌ·¯ÇÑ ´Ù·®ÀÇ Bot º¯ÀÌ´Â ¡®Attack Signature¡¯¿¡ ÀÇÇØ °ø°ÝÀ» È®ÀÎÇÏ´Â ¾î¶°ÇÑ ½ÃµµµçÁö º¹ÀâÇÏ°Ô ¸¸µé¾î ³¾ ¼ö ÀÖ´Ù. ¿¹¸¦ µé¾î 5³â Àü¿¡´Â ·£´ýÇÑ Spoofed IP Address¸¦ °¡Áø SYN Flood BotÀº ·£´ýÇÑ Source IP¿Í Source Port¿Í ÇÔ²² TCP-SYNÀ» ¹ß»ý½ÃÄ×´Ù. ¿À´Ã³¯ ¿ì¸®´Â ¸Å¿ì ´Ù¾çÇÑ ÇüÅÂÀÇ TCP-SYN Flood BotÀ» ¹ß°ßÇÏ°Ô µÇ¾ú´Ù. ¿¹¸¦ µé¾î ÇÑ °³ÀÇ Æ¯º°ÇÑ BotÀº ºÒ°ú ¸î ÃÊ ¸¸¿¡ °°Àº IP¿Í °°Àº PortÀÇ ½ÖÀ» ÀÌ¿ëÇÏ¿© ¸î ½Ã°£¾¿ º¸³¾ ¼ö ÀÖ´Ù.
¿ì¸®°¡ ã¾Æ³½ ¶Ç ´Ù¸¥ BotÀº Full IP Address¸¦ ´ë½ÅÇÏ¿© ÀÛÀº Å©±âÀÇ ¹üÀ§¸¦ °¡Áø ·£´ýÇÑ ÁÖ¼Ò Pool·Î Á¦ÇÑÇÑ´Ù. ÇÏÁö¸¸ ±× BotÀº »õ·Î¿î Range·Î ¸Å 20ºÐ¸¶´Ù »õ·Î¿î AttackingÁÖ¼Ò¸¦ »ý¼ºÇØ ³½´Ù.
ÀÌ·¯ÇÑ º¯È´Â È¿°úÀûÀÌÁö ¾ÊÀº °ø°ÝÀ¸·ÎºÎÅÍ ´Ù½Ã °·ÂÇÑ °ø°Ý·ÂÀ» °¡Áø TCP-SYN Flood AttackÀÌ µÈ´Ù´Â Áß¿äÇÑ ºÎºÐÀÌ´Ù. °ø°ÝÀÚµéÀº ¾î¶² ±ÔÄ¢À» µû¸£Áö ¾Ê´Â´Ù. ¾î¶² Ç¥ÁØÀ» µû¸£´Â ±ÔÄ¢À» °¡Áö°í ÀÖÁö ¾Ê±â ¶§¹®¿¡ »õ·Î¿î °ø°ÝÀÚ¿Í ´õºÒ¾î ´õ¿í °·ÂÇØÁø ÄÄÇ»ÅÍ, ±×¸®°í °³¹ßµÈ Software¿Í ÇÔ²² »õ·Î¿î BotÀ» ¸¸µé¾î ³»°í ÀÖ´Ù.
Áö³ÇرîÁö ¾Ë·ÁÁø ¸ðµç DDoS °ø°ÝµéÀº 2000³âºÎÅÍ ¾Ë°í ÀÖ´ø °Í°ú °°Àº DDoS °ø°ÝÀÌ ¾Æ´Ï´Ù. ±×·¸±â ¶§¹®¿¡ ´Ü¼øÈ÷ ±âÁ¸¿¡ ¾Ë°í ÀÖ´Â DDoS °ø°ÝÀÇ ÆÐÅÏÀ» °¡Áö°í DDoS °ø°ÝÀ» ¹æ¾îÇÑ´Ù´Â °ÍÀÌ ¾ó¸¶³ª È¿°ú°¡ ÀÖÀ»Áöµµ ¾Ë¾Æ¾ß ÇÑ´Ù.
DDoS °ø°Ý¿¡ ´ëÇÑ RIOREYÀÇ Á¢±Ù ¹æ½Ä
RioRey´Â DDoS Attack¿¡ ´ëÇؼ Æ÷°ýÀûÀÎ À̸§À¸·Î °ø°ÝÀ» ÀÎÁöÇÏ¸ç ±×°ÍÀ» ¸î °¡ÁöÀÇ Á¾·ù·Î ¼ö½Ã·Î ºÐ·ù¸¦ ÇÏ°í ÀÖ´Ù. ¶ÇÇÑ Áö¼ÓÀûÀ¸·Î º¯°æÇÏ°í ÀÖ´Ù.
¡Ü TCP Attacks : SYN Flood, SYN-ACK Flood, ACK Flood, TCP Session Attack, HTTP Attack, CC Attack, FIN/RST Flood
¡Ü UDP attacks : Fragmented Packets, Small Packet Floods
¡Ü ICMP attacks : Fragmented Packets, Small Packet Floods
RioRey´Â ½ÇÁ¦ °ø°ÝÀÇ ¼¼°è¿¡¼ À§¿¡ ÀÖ´Â ÁÖ¿ä ¸ñ·Ï¿¡ ÀÖ´Â ³»¿ëº¸´Ùµµ ¸¹Àº º¹ÀâÇÏ°í ´Ù¾çÇÑ °ø°ÝÀÌ Á¸ÀçÇÏ°í ÀÖ´Ù´Â °ÍÀ» ¿¬±¸¸¦ ÅëÇؼ È®ÀÎÇß´Ù. ¶ÇÇÑ °ø°ÝÀÌ °æ¹ÌÇÏ°Ô º¯°æµÇ´Â °æ¿ì ƯÁ¤ °ø°Ý¿¡ ´ëÇÏ¿© ¹æ¾îÇÒ ¼ö ÀÖ´Â DDoS Defense AlgorithmÀº È¿°úÀûÀÌÁö ¾ÊÀ» ¼öµµ ÀÖ´Ù. RioReyÀÇ DDoS Defense AlgorithmÀº ´Ù¸¥ DDoS Vendorµé º¸´Ù ¸Å¿ì ´Ù¸£°Ô AlgorithmÀ» ¼³°èÇß´Ù. RioRey DDoS SolutionÀº ´ÙÀ½ÀÇ »çÇ×À» ±âÃÊ·Î ÇÏ¿© ¼³°èµÆ´Ù.
¡Ü ¸¹Àº ´Ù¸¥ DDoS ¾Ë°í¸®ÁòµéÀÌ ¼ö¿ëÇÏ´Â ±â¹ýµéÀº ´õ ÀÌ»ó ¡®Powerful Special Algorithms¡¯ÀÌ ¾Æ´Ï´Ù. ÇöÀç ¿ì¸®ÀÇ DDoS Solution¹öÀüÀÎ RX/RE ProductµéÀº 100°³ ÀÌ»óÀÇ Moduleµé·Î È®ÀåÇϴµ¥ ÃæºÐÇÑ ¼ö¿ë´É·ÂÀ» ±âº»À¸·Î 30°³ ÀÌ»óÀÇ ºÐ¸®µÈ DDoS Algorithm moduleµéÀ» °¡Áö°í ÀÖ´Ù.
¡Ü ¸Å¿ì ºü¸¥ ¹ß´Þ¿¡ ¸ÂÃâ ¼ö ÀÖ´Â DDoS Àü¿ë Platform
¿ì¸®´Â AttackerµéÀÌ ¸Å¿ì ºü¸£°Ô ÁøÈ ÇÒ °Í À̶ó°í ¹Ï°í ÀÖ´Ù. ±×¸®°í ´õ ¸¹Àº AttackerµéÀº »õ·Î¿î Attack CodeµéÀ» ¸¸µé¾î ³¾ °ÍÀÌ´Ù. Áï °ø°ÝÀÚµéÀÌ ±âÁ¸ÀÇ ¹æ¾îº®À» ¶ÕÀ» ¼ö ÀÖ´Â »õ·Î¿î ¹æ¹ýÀ» ã¾Æ³½´Ù´Â °ÍÀ» ÀǹÌÇÑ´Ù.
RioRey´Â ºü¸£°Ô ¹ßÀüÇÏ´Â ¼ÒÇÁÆ®¿þ¾î °³¹ßÀ» Àû¿ëÇÒ ¼ö ÀÖ´Â DDoS Àü¿ë PlatformÀ» ¸¸µé¾î³Â´Ù. ±×°ÍÀº ¿ì¸®ÀÇ °æÇèÀ¸·Î °¡´ÉÇÏ´Ù´Â °ÍÀÌ È®ÀÎ µÇ¾ú°í ¶ÇÇÑ °³¹ßµÇ¾úÀ¸¸ç ±×¸®°í ¸Å¿ì ªÀº ½Ã°£ ¾È¿¡ DDoS SolutionÀÌ ¹èÄ¡ µÉ ¼ö ÀÖµµ·Ï ¼³°èµÇ¾ú´Ù.
¡Ü Capacity(¼ö¿ë·®)°ú Throughput(󸮷®) »çÀÌÀÇ ±¸º°
¸¹Àº DDoS VendorµéÀº ÀÛÀº ³×Æ®¿öÅ©¿¡´Â ÀÛÀº °ø°ÝÀÌ ÀÌ·ç¾î Áú °ÍÀ̶ó°í »ý°¢ÇÑ´Ù. ±×·¯³ª »ç½ÇÀº ÀÛÀº ³×Æ®¿öÅ©´Â ÃÊ´ç ÆÐŶµéÀÇ ThroughputÀÌ ÀûÀ» »ÓÀÌ´Ù. ±×·¯³ª °Å´ëÇÑ ³×Æ®¿öũó·³ ¶È°°ÀÌ º¹ÀâÇÑ °ø°Ý ÇüŸ¦ °¡Áø DDoS °ø°ÝÀÌ µé¾î¿À°í ÀÖ´Ù. ÀÛÀº ³×Æ®¿öÅ©¾ÈÀÇ Random, Spoofed Flood °ø°ÝÀº °Å´ëÇÑ Network¾È¿¡¼ ó·³ ¶È°°Àº Attacker IP¸¦ º¼ ¼ö°¡ ÀÖ´Ù.
±×·¸±â ¶§¹®¿¡ RioRey´Â ÃÊ´ç ó¸®ÇÒ ¼ö ÀÖ´Â PacketÀÇ ¿ë·®°ú ¼ö ¸¸°³ÀÇ Attacking IP¸¦ È®ÀÎÇÒ ¼ö ÀÖ´Â ´É·ÂÀ» ¾ÈÀüÇÏ°Ô ±¸ºÐÇß´Ù. ¿ì¸®ÀÇ ¸ðµç ProductµéÀº ¼ö ¸¸°³ÀÇ Sessionµé°ú IP Address, ±×¸®°í DDoS °ø°ÝÀÇ ÇüŵéÀ» ÃßÀûÇÒ ¼ö ÀÖµµ·Ï ¼³°èÇß´Ù.
¡Ü °Å´ëÇÑ ¼ö¿ë·®
¿ì¸®ÀÇ °æÀïÀÚµéÀº DDoS AttackµéÀ» ã¾Æ³»±â À§Çؼ ÀÚ¼¼ÇÑ Å½»öÀ» Çϱâ À§ÇØ ¸¹Àº ó¸® ´É·ÂÀ» ÇÊ¿ä·Î ÇÑ´Ù. ±×·¯³ª ±×·¸°Ô ÇÔÀ¸·Î½á ±×µéÀº ¸Å¿ì ÀÛÀº Attacker TableÀ» ã°Ô µÇ¸ç °ø°Ý º¯È¸¦ ÀνÄÇϴµ¥ ÀÖ¾î À¶Å뼺ÀÌ Àû¾îÁø´Ù.
±×µéÀº °¢°¢ÀÇ ÆÐŶ¿¡ °üÇÑ Á¤º¸¸¦ ÁÙ ¼ö ÀÖÁö¸¸ ±×µéÀº °¢°¢ÀÇ RX/RE DDoS Àåºñ ¾È¿¡ ¼³Ä¡µÇ¾î ÀÖ´Â RioReyÀÇ °Å´ëÇÑ ¼ö¿ë ·®¸¸Å ´Ù·®ÀÇ DDoS °ø°ÝÀ» ¸·¾Æ³»Áö´Â ¸øÇÑ´Ù. Attack SignatureµéÀº Á¦ÇÑµÈ ½ÇÇè½Ç Å×½ºÆ® ȯ°æ¿¡¼´Â DDoS FilterµéÀÌ ¸Å¿ì µ¿ÀÛÀ» Àß ÇÑ´Ù. ±×·¯³ª ½ÇÁ¦ ³×Æ®¿öÅ© ȯ°æ¿¡¼´Â °ø°ÝÀÇ º¯ÀÌ°¡ ¼öõ °¡Áö ÀÌ»óÀ¸·Î ÀϾ°í ÀÖÀ¸¸ç ½ÇÁ¦·Î´Â RioRey DDoS SolutionÀº ¿ì¸®ÀÇ ³»ºÎ Filter List¿¡ 10,000,000°³ ÀÌ»óÀÇ Attacking IPµéÀ» ÀúÀåÇÒ ¼ö ÀÖ´Â ´É·ÂÀÌ Àֱ⠶§¹®¿¡ ½ÇÁ¦ ³×Æ®¿öÅ©¿¡¼ ¹«ÀÛÀ§ÀÇ ´Ù·®ÀÇ Random AttackµéÀ» ó¸®ÇÒ ¼ö ÀÖ´Â ÃæºÐÇÑ ÀúÀå ´É·ÂÀÌ ÀÖ´Ù.
RIOREY AlgorithmÀÇ ÁÖ¿ä Ư¡
DDoS¸¦ ¹Ù¶óº¸´Â ÀüÅëÀûÀÎ ¹æ¹ýÀº DDoS ProtocolÀ» º¸°í TCP/UDP/ICMP·Î DDoS AttackÀ» ºÐ·ùÇÏ´Â °ÍÀÌ´Ù. ±×¸®°í ±×¶§ ±×°ÍµéÀ» ºÐ¼®Çϱâ À§ÇÑ SignatureÀ» »ç¿ëÇÑ´Ù. RioRey´Â ÀÌ·¯ÇÑ ÀüÅëÀûÀÎ ¹æ¹ýÀÌ È¿°úÀûÀÌÁö ¾ÊÀº Á¢±Ù ¹æ¹ýÀÓÀ» ã¾Æ³Â´Ù. ±×·¸±â ¶§¹®¿¡ RioRey´Â DDoS Attacking BotµéÀÌ ¾î¶»°Ô ÇൿÇÏ´ÂÁö Á¶»çÇß´Ù. ±×¸®°í ÀÌ·¯ÇÑ Çൿ ¹æ½Ä¿¡ ±Ù°ÅÇÏ¿© ÀÌ·¯ÇÑ BotµéÀ» È®ÀÎÇÒ ¼ö ÀÖ´Â AlgorithmÀ» ¸¸µé¾î³Â´Ù.
¿¹¸¦ µé¾î BotÀº IP Address, Port ¹øÈ£¸¦ À§Á¶Çϱâ À§ÇÏ¿© °£´ÜÇÑ AlgorithmÀ» »ç¿ëÇÏ°í TCP ¶Ç´Â UDP ¶Ç´Â ICMP ÆÐŶÀ» »ç¿ëÇÑ´Ù. ÀÌ·¯ÇÑ ÆÐŶµéÀº Protocol Headerµé°ú Payload°¡ ´Ù¸£´Ù. ±×¸®°í ÀÌ·¯ÇÑ °ÍµéÀº Victim Server À§¿¡¼ ´Ù¸¥ È¿°ú¸¦ ³ªÅ¸³¾Áöµµ ¸ð¸¥´Ù. ±×·¯³ª ÀÌ ÆÐŶµéÀÇ IP Address¿Í Source Port Header¾È¿¡ ÀÖ´Â ¹«ÀÛÀ§·Î ºÐ¹èµÇ´Â ºÎºÐÀº µ¿ÀÏÇÏ´Ù´Â °ÍÀ» ã¾Æ³Â´Ù.
±×·¸±â ¶§¹®¿¡ °°Àº Randomness Checker´Â TCP/UDP/ICMP °ø°Ý¿¡ ´ëÇؼ µ¿ÀÏÇÑ È¿°ú¸¦ ³ªÅ¸³¾ ¼ö ÀÖ´Ù. ÀÌ·± °æ¿ì IP¿Í Port ºÐ¹è¸¦ º¸´Â MASK´Â TCP/UDP/ICMP Payload informationÀ» º¸´Â °Í º¸´Ù ´õ È¿°úÀûÀÌ´Ù. ¿¹¸¦ µé¾î HTTP Attackµé°ú CC AttackµéÀº ¿À´Ã³¯ ´ëÇ¥ÀûÀÎ µÎ °¡Áö °ø°Ý À¯ÇüÀÌ´Ù.
µÎ °¡Áö AttackÀº µ¿ÀÏÇÏ°Ô ¡®WGET¡¯À̶ó´Â µ¿µîÇÑ ¸í·ÉÀ» ÅëÇؼ ÀÌ·ç¾îÁø´Ù. HTTPÀÇ °æ¿ì °íÁ¤µÈ Get String¿¡ ÀÇÇϸç CC AttackÀÇ °æ¿ì Get StringÀÇ º¯À̸¦ ÅëÇؼ °ø°ÝÀÌ ÀÌ·ç¾îÁø´Ù. ÀÌ µÎ °¡Áö °ø°ÝÀÇ °æ¿ì Victim¿¡ ´ëÇÑ È¿°ú´Â ´Ù¸£´Ù. ±×¸®°í Network ¿î¿µÀÚ´Â 2°¡Áö ´Ù¸¥ SignatureµéÀ» º¸°Ô µÉ °ÍÀÌ´Ù. ±×·¯³ª Áø½ÇÀº ±×µéÀÌ °°Àº Bot¿¡ ÀÇÇØ °°Àº ¹æ¹ýÀ¸·Î »ý»ê µÈ´Ù´Â °ÍÀÌ´Ù.
±×·¸±â ¶§¹®¿¡ ±×µéÀº °°Àº SYN>SYN-ACK>ACK>HTTP GET Signature¸¦ ¹Ýº¹Çؼ Àü¼ÛÇÏ°Ô µÈ´Ù.
¸¸ÀÏ Bot Session InformationÀ» È®ÀÎÇÏ°í Bot ±¸Á¶ÀÇ °ø°ÝÀ» ¸ØÃá´Ù¸é ¿ì¸®´Â Áö±Ý HTTPS Attack, Port 25 Attack, FTP Attack µîÀÇ ´Ù¸¥ ¹Ì·¡ÀÇ º¯ÀÌ¿¡ ÀÇÇÑ °ø°ÝÀ» ¸ØÃâ ¼ö ÀÖ°Ô µÉ °ÍÀÌ´Ù.
RioRey Micro Behavior AnalysisÀÇ ÀåÁ¡
RioRey Micro Behavior Analysis´Â BotÀÌ ¾î¶»°Ô Æ®·¡ÇÈÀ» ¹ß»ý½ÃÅ°´ÂÁö È®ÀÎÇÑ´Ù. ±×¸®°í Á¤»óÀûÀÎ Traffic Source¿Í GeneratorµÈ Æ®·¡ÇÈÀ» ºñ±³ÇÑ´Ù. Ç¥ 1Àº Æ®·¡ÇÈ¿¡ ´ëÇÑ ¡®Anomaly Detection and Deep Packet Inspection¡¯À» ´Ù¸¥ Á¦Ç°°ú ºñ±³ÇÑ °ÍÀÌ´Ù.
¡®Anomaly Detection and Deep Packet Inspection¡¯Àº ¸Å¿ì ´Ù¸¥ ±â¼úÀÌ´Ù. ±×·¯³ª 2°¡Áö ±â¼úµéÀº VictimÀÇ Statistics°ú Knowledge¸¦ ¸Å¿ì Áß¿äÇÏ°Ô »ý°¢ÇÑ´Ù. Victim Knowledge´Â ´ÙÀ½ÀÇ 2°¡Áö ±¸ºÐµÇ´Â Ư¡À» °¡Áö°í ÀÖ´Ù.
¡Ü VictimÀº Ưº°ÇÑ ½Ã°£¿¡ Ưº°ÇÑ Source·ÎºÎÅÍ Æ®·¡ÇÈÀÇ ´ëºÎºÐÀ» ¹Þ´Â È®ÀÎÀÌ ÇÊ¿äÇÏ´Ù.
¡Ü ÀÌ·¯ÇÑ Data PatternÀº ƯÁ¤ÇÑ ½Ã°£¿¡ Victim¿¡°Ô µé¾î°¡´Â Æ®·¡ÇÈÀÎÁö È®ÀÎÇØ¾ß ÇÑ´Ù.
ÅëÁ¦°¡ °¡´ÉÇÑ °£´ÜÇÑ Å×½ºÆ® ȯ°æ¿¡¼´Â DDoS ŽÁö¿¡ ´ëÇÑ È¿°úÀûÀÎ Tool·Î¼ Á¾Á¾ ¡®Anomaly Detection and Deep Packet inspection¡¯ÀÌ º¸¿©Áø´Ù. ±× ÀÌÀ¯´Â Å×½ºÆ®µéÀ» ¹Ýº¹Çؼ »ç¿ëÇϱ⠶§¹®ÀÌ´Ù. ±×·¯¹Ç·Î ÇÊÅÍ´Â °æÇèÀ» ´©ÀûÇÏ°í Àç ¹Ýº¹ÇÑ ½ÃÇèÀ» ÀÎÁöÇÏ¿© ºü¸£°Ô µ¿ÀÛÇÏ°Ô µÈ´Ù.
½ÇÁ¦·Î DDoS °ø°Ý ȯ°æ¿¡¼´Â °ø°ÝÀÚµéÀº ±×µéÀÇ °ø°ÝÀÌ È¿°úÀûÀÎÁö °¨½ÃÇÏ°í °ø°ÝÀ» Á¶Á¤ÇÒ °ÍÀÌ´Ù. ¸¸¾à ±×µéÀÌ Ã¹ ¹ø° °ø°ÝÀÌ È¿°úÀûÀ¸·Î Á¦°ÅµÇ´Â ¹æ¾î ½Ã½ºÅÛÀ» º»´Ù¸é ±×µéÀº ±×µéÀÇ ¹®Á¦Á¡À» ã¾Æ ³¾ °ÍÀÌ¸ç »õ·Î¿î º¯°æÀ» ÅëÇؼ ¹æ¾î ½Ã½ºÅÛÀÌ Å½Áö ÇÏÁö ¸øÇϵµ·Ï ÇÒ °ÍÀÌ´Ù.
¿À´Ã³¯ BotÀº °ø°Ý SignaturesÀ» ¸Å¿ì ºü¸£°Ô º¯°æÇÒ ¼ö ÀÖ´Ù. È¥ÇÕµÈ °ø°ÝÀº Defense SystemÀ» È¥µ·½º·´°Ô ¸¸µé°í ÀÖ´Ù. ÀÌ·¯ÇÑ º¯°æµéÀº ½ÇÁ¦ DDoS °ø°Ý ¾È¿¡¼´Â ¡®Deep Packet and Anomaly Detection¡¯ÀÌ È¿°ú°¡ ¾ø°Ô µÇ´Â ¿øÀÎÀÌ µÈ´Ù.
Ãß°¡ÀûÀ¸·Î ¡®Deep Packet and Anomaly Detection¡¯ µÎ °¡Áö´Â Ưº°ÇÑ Çϵå¿þ¾î ¿£Áøµé°ú ¸Å¿ì ºü¸¥ Ưº°ÇÑ ³×Æ®¿öũ󸮸¦ °¡Áö°í ¾Ë°í¸®Áòµé¿¡ ºü¸£°Ô Pattern Matching½Ãų ÇÊ¿ä°¡ ÀÖ´Ù. ¶ÇÇÑ ¸Þ¸ð¸® ÁÖ¼Ò °ø°£¿¡´Â Á¦ÇÑÀÌ ¾ø¾î¾ßÇÑ´Ù. Á¦ÇÑµÈ ¸Þ¸ð¸® °ø°£À» °¡Áø DDoS PlatformÀº ´ë·« 2,000,000°³ÀÇ °ø°ÝÀÚµéÀ» ÃßÀûÇϴµ¥ Á¦ÇѵȴÙ.
½ÇÁ¦ ´ë¿ªÆø °ø°Ý¿¡¼´Â ¸î ¹é¸¸ °³ÀÇ Attacking IP AddressµéÀÌ DDoS °ø°ÝÀ» ÇÑ´Ù. ÇöÀç RioRey PlatformÀº 10,000,000 IPs, Random, Forged IP Attack¿¡ ´ëÇؼ Micro Behavior AlgorithmÀ» °¡Áø RioRey Platform¿¡ ´ëÇؼ Àüü 32bit IPv4 address / 128bit IPv6 address °ø°£À» È®ÀÎÇÒ ¼ö ÀÖ´Ù.
Micro Behavior AnalyzerÀÇ ±¸¼º
RioRey Platform¿¡ µé¾î°¡´Â IP PacketµéÀº Multiple Behavior Analysis Algorithmµé¿¡ ÀÇÇØ µ¿½Ã¿¡ ±× Ư¼ºµéÀÌ ±â¼ú µÇ´Â °ÍÀÌ Æ¯Â¡ÀÌ´Ù. ÀÌ·¯ÇÑ ¾Ë°í¸®ÁòµéÀÇ OutputÀÌ ¸¸ÀÏ Source IP°¡ DDoS Bot AttackingÀ̶ó¸é °ø°ÝÀ» ÆÇ´ÜÇϱâ À§ÇÏ¿© ÀÌ¿ë µÉ °ÍÀÌ´Ù.
¸ðµç ÆÐŶµéÀº Source IP AddressºÐ¹è¿¡ ÀÇÇØ Ç¥±â µÇ¾î Áú°ÍÀÌ´Ù. IP ºÐ¹è Randomness Checker´Â ¸ðµç Traffic ÇüÅ¿¡ ´ëÇÑ ´Ù·®ÀÇ À§¡¤º¯Á¶ IP AttackÀ» ã¾Æ³¾ ¼ö ÀÖ°Ô µÈ´Ù. ÀÌ Checker´Â µ¿½Ã¿¡ ¸ðµç IPv4 / IPv6 Address À§¿¡¼ AttackerµéÀ» CaptureÇϵµ·Ï Çã¿ëµÉ °ÍÀÌ´Ù. ¶ÇÇÑ Fragment Statics Checker´Â Fragmented AttackµéÀ» È®ÀÎÇÒ °ÍÀÌ´Ù.
Àü¹®ÈµÈ Checker ÁýÇÕÀº ¿À·¡µÈ °ø°ÝµéÀ» ŽÁöÇÏ°í Â÷´ÜÇϱâ À§ÇØ ¡®Ping of death¡¯, FIN, RST Attackµé°ú °°ÀÌ ¿À·¡µÈ ¾Ë·ÁÁ® ÀÖ´Â °ø°Ýµé¿¡ ´ëÇÑ °ÍÀÌ´Ù. Ưº°ÇÑ Traffic Flow Analyzer´Â Attack TrafficÀ¸·ÎºÎÅÍ Á¤»ó TrafficÀ» ºÐ¸®ÇÏ¿© ¡®Signal to noise ratio¡¯ Áõ°¡½ÃÅ°±â À§ÇØ Good Traffic Analysis¸¦ Á¦°øÇϱâ À§ÇÑ °ÍÀÌ´Ù.
¶ÇÇÑ TCP¿Í °°Àº Stateful TrafficÀº 8,000,000 sessionµé¿¡¼ Good / Bad TrafficÀ¸·Î ºÐ¸® µÉ ¼ö ÀÖµµ·Ï µµ¿òÀ» ÁØ´Ù. Source Port pairs µé°ú ÇÔ²² Attacking TCP SessionÀ» ºÐ¸®ÇÒ ¼ö ÀÖ´Â »óȲÀ̶ó¸é ¿ì¸®´Â Source IP plus port number ¿¡ ÀÇÇؼ ´õ¿í Â÷´ÜÀÌ Àß µÉ °ÍÀÌ´Ù.
Á¤»ó Æ®·¡ÇÈ°ú °°Áö¸¸ À§ º¯Á¶µÈ Source IPÀÎ Bad SessionÀ» Á¦°ÅÇÏ´Â µ¿¾È Åë°úµÈ ´Ù¸¥ Source Port NumberÀÇ Á¤»ó SessionÀº Çã¿ëÇØ¾ß ÇÑ´Ù. RioRey PlatformÀº À¯ÀÏÇÑ Software¿Í High Multithreaded, Multiprocessor ȯ°æÀÇ µµ±¸¸¦ °¡Áö°í ÀÖ´Ù. ÀÌ·¯ÇÑ »õ·Î¿î Á¶ÇÕÀº »õ·Î¿î DDoS °ø°ÝÀ» Á¦¾îÇϱâ À§Çؼ »õ·Î¿î Defense software µµ±¸·Î¼ RioRey¿¡ Àû¿ë µÉ °ÍÀÌ´Ù.
<±Û : ½É¿ìÁ¤ ¸ðÁ¨¼ÒÇÁÆ® ³×Æ®¿öÅ©»ç¾÷ºÎ Â÷Àå(woojeong@mozensoft.com)>
[¿ù°£ Á¤º¸º¸È£21c Åë±Ç Á¦102È£ (info@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«ÀüÀç-Àç¹èÆ÷±ÝÁö>