디도스어택은 실질적으로 막을방법이없습니까??

쓰기

디도스어택은 실질적으로 막을방법이없습니까??

bigmaster

2014-10

2014-10-01 20:02:42

조회 16397 추천 0

제가 알기론 인터넷 회선쪽에 패킷을 부하시켜서 인터넷을 사용못하는게 디도스 어택이라고 알고있습니다.

제가 이러한 어택을 피할수있는 방법을 알고싶은데.. 피하려면 아예 여분의 따른 회선을 만들어둬야 디도스어택을 방지할수있는겁니까??

제가 서버쪽에 지식이 얕아서 알려주셨으면합니다.

임성훈

짧은글 일수록 신중하게.



김윤술 2014-10 받아줄 도착지가 있어야 공격이 됩니다. 실질적으로 받아줄 대상이 없이 대량의 패킷을 보낸다면 캐스트 방식으로 보내야 되는데 결국은 라우터 장비에서 도달이 안되고 일차적으로 비정상적인 데이터는 걸러지게 됩니다. 디도스 공격 방어하는데 공벽 받는 대상은 서비스를 하는 서버이지 네트워크 장비들은 일차적으로 넘겨주게 됩니다. 회선쪽에 부하를 줘서 사용못하게 한다라... 우리나라 통신사들이 그리 허술한 통신사들이 아니고 그럴정도라면 잡혀가요. 중국에서 한다? 중국에서 들어오는 대역폭이 정해졌는데... 디도스의 주체는 서비스를 하는 서버이지 네트워크로 오해하는 사람들이 많네요. 그래서 네트워크 단에서 공격을 방어해주는겁니다. 네트워크가 문제가 되는 경우는 필터링 역할을 하는 방화벽이거나 로그를 실시간으로 쌓아야 되는 장비이거나 할때 동시 다발 공격에서는 모든 역할을 순식간에 처리 할수 없기 때문에 망가지는겁니다. 디도스 방어장비도 하단에 수십대 만들고 NLB로 패킷 필터하면 막을수 있습니다. 예전에는 엣지 장비들이 스펙이 많이 부족했지만 요즘은 성능들이 좋아서 설계만 잘하면 다 막아줍니다. 특히 개발을 발로 하면 아무리 앞단에서 잘막아도 방어 못할수도 있습니다. 받아줄 도착지가 있어야 공격이 됩니다. 실질적으로 받아줄 대상이 없이 대량의 패킷을 보낸다면 캐스트 방식으로 보내야 되는데 결국은 라우터 장비에서 도달이 안되고 일차적으로 비정상적인 데이터는 걸러지게 됩니다. 디도스 공격 방어하는데 공벽 받는 대상은 서비스를 하는 서버이지 네트워크 장비들은 일차적으로 넘겨주게 됩니다. 회선쪽에 부하를 줘서 사용못하게 한다라... 우리나라 통신사들이 그리 허술한 통신사들이 아니고 그럴정도라면 잡혀가요. 중국에서 한다? 중국에서 들어오는 대역폭이 정해졌는데... 디도스의 주체는 서비스를 하는 서버이지 네트워크로 오해하는 사람들이 많네요. 그래서 네트워크 단에서 공격을 방어해주는겁니다. 네트워크가 문제가 되는 경우는 필터링 역할을 하는 방화벽이거나 로그를 실시간으로 쌓아야 되는 장비이거나 할때 동시 다발 공격에서는 모든 역할을 순식간에 처리 할수 없기 때문에 망가지는겁니다. 디도스 방어장비도 하단에 수십대 만들고 NLB로 패킷 필터하면 막을수 있습니다. 예전에는 엣지 장비들이 스펙이 많이 부족했지만 요즘은 성능들이 좋아서 설계만 잘하면 다 막아줍니다. 특히 개발을 발로 하면 아무리 앞단에서 잘막아도 방어 못할수도 있습니다.



bigmaster 2014-10 제가 너무 덧글을 늦게봤네요. 그럼 이런 네트워크를 잘모르는 사람들은 좋은 장비로 막을수있는 방법이 있다는겁니까?? 제가 너무 덧글을 늦게봤네요. 그럼 이런 네트워크를 잘모르는 사람들은 좋은 장비로 막을수있는 방법이 있다는겁니까??



신중현 2014-10 디도스의 말그대로 공격자가 분산 되어있다곤 하나 실질적으로 국내 ISP를 밟고 나가지 않으면 크게 위협적인 트래픽 량은 안나올 것이기에 ISP가 아웃바운드 차단을 잘 해준다면 피해가 감소할 겁니다. 디도스의 말그대로 공격자가 분산 되어있다곤 하나 실질적으로 국내 ISP를 밟고 나가지 않으면 크게 위협적인 트래픽 량은 안나올 것이기에 ISP가 아웃바운드 차단을 잘 해준다면 피해가 감소할 겁니다.



bigmaster 2014-10 말씀이 너무 어렵습니다. 제가 진짜 네트워크에 초짜입니다.. 말씀이 너무 어렵습니다. 제가 진짜 네트워크에 초짜입니다..



백두성 2014-10 Denial-of-service attack - 서비스 거부 공격 즉 의미 그대로 특정 서비스가 정상적으로 이루어지지 못하겠끔 하는 공격입니다. 제가 질문을 잘못 이해했는지는 모르겠지만 내부에서 공격 트래픽이 발생하여, 인터넷을 사용 못하게 한다거나, 하는 것은 DDOS 공격으로 보기는 어려울 것으로 보입니다. 질문의 의도가 인터넷 회선이 끊어지는 것을 우려하시는 거라면 인터넷 회선을 멀티 회선으로 확보하여 쓰시는게 답으로 보입니다. Denial-of-service attack - 서비스 거부 공격 즉 의미 그대로 특정 서비스가 정상적으로 이루어지지 못하겠끔 하는 공격입니다. 제가 질문을 잘못 이해했는지는 모르겠지만 내부에서 공격 트래픽이 발생하여, 인터넷을 사용 못하게 한다거나, 하는 것은 DDOS 공격으로 보기는 어려울 것으로 보입니다. 질문의 의도가 인터넷 회선이 끊어지는 것을 우려하시는 거라면 인터넷 회선을 멀티 회선으로 확보하여 쓰시는게 답으로 보입니다.



bigmaster 2014-10 그렇군요. 그럼 인터넷비용이 많이 나가겠군요.. 그렇군요. 그럼 인터넷비용이 많이 나가겠군요..



천외천oo노… 2014-10 논외의 이야기입니다만... 디도스 아니고 정상적인 사용자들이 정상적으로 접속해도 개발을 발로 하면 서버 죽는 경우 허다합니다. 하하~ 논외의 이야기입니다만... 디도스 아니고 정상적인 사용자들이 정상적으로 접속해도 개발을 발로 하면 서버 죽는 경우 허다합니다. 하하~



멀린 2014-10 어택커가 어떤 방법으로 얼마나 크게 공격을 하느냐에 따라 다르긴 하나, 공격량 자체가 어마무시하면 막을 방도가 없는게 맞지요. DDOS 방어 서비스 하는 업체든 장비 업체던 물어보면 똑같은 소리 할껄요. 자기네 스펙 만큼만 방어 가능 하다. 어택커가 어떤 방법으로 얼마나 크게 공격을 하느냐에 따라 다르긴 하나, 공격량 자체가 어마무시하면 막을 방도가 없는게 맞지요. DDOS 방어 서비스 하는 업체든 장비 업체던 물어보면 똑같은 소리 할껄요. 자기네 스펙 만큼만 방어 가능 하다.



회원K 2014-10 ISP에 그런 트래픽이 몰려오면, 다른 랙들이 마비 됩니다. 실질적인 방어는 불가능하고, KISA의 사이버존 같은 곳으로 일시 대피하는게 현실적인 방법 같습니다. 기본으로 5-6Gbps 정도 들어오는데, 이거 막을만한 UTM 장비의 가격도 비싸구요. ISP에 그런 트래픽이 몰려오면, 다른 랙들이 마비 됩니다. 실질적인 방어는 불가능하고, KISA의 사이버존 같은 곳으로 일시 대피하는게 현실적인 방법 같습니다. 기본으로 5-6Gbps 정도 들어오는데, 이거 막을만한 UTM 장비의 가격도 비싸구요.



bigmaster 2014-10 저렴한 가격으론 막긴 힘들다는 말씀이시군요. 저렴한 가격으론 막긴 힘들다는 말씀이시군요.



디오 2014-10 ddos는 크게 두가지 방식이 있습니다. udp로 밀고 들어오느냐 tcp로 밀고들어오느냐. tcp방식은 anti ddos장비가 있으면 효과를 볼수 있으니 udp로 회선 꽉꽉 채워서 밀고들어오면 isp할아버지라도 못막습니다. isp끼리 서로 공조해서 트래픽 유발ip를 막느냐 아니면 공격대상ip를 null처리해서 막는 방법외엔 없습니다. 간혹가다 isp끼리 연동회선을 꽉채울정도로 ddos발생하면 통신사끼리도 흔들릴때가 있습니다. ddos는 크게 두가지 방식이 있습니다. udp로 밀고 들어오느냐 tcp로 밀고들어오느냐. tcp방식은 anti ddos장비가 있으면 효과를 볼수 있으니 udp로 회선 꽉꽉 채워서 밀고들어오면 isp할아버지라도 못막습니다. isp끼리 서로 공조해서 트래픽 유발ip를 막느냐 아니면 공격대상ip를 null처리해서 막는 방법외엔 없습니다. 간혹가다 isp끼리 연동회선을 꽉채울정도로 ddos발생하면 통신사끼리도 흔들릴때가 있습니다.



bigmaster 2014-10 그니깐 어택툴같은걸 이용하는 공격은 보통 어떤 형식의 공격인지 알고싶습니다. 그니깐 어택툴같은걸 이용하는 공격은 보통 어떤 형식의 공격인지 알고싶습니다.



박 2014-10 참고로, dos공격은 종류가 많아요. 보통 트래픽공격을 이야기하는데, 트래픽공격자체에도 종류가 다양합니다. 사용자가 필요로한 서비스를 못받도록하는것이 공격자의 목표이기때문에 다양한 지점에 다양한 공격이 가능합니다. 라우터, 방화벽, 스위치, 로드밸런서, DB, 웹서버, WAS 등 어느 지점 한곳에 어떤 문제든 생겨서 서비스에 차질이 생기면 공격자의 의도는 성공하는거죠. 그리고 요즘 ddos공격이 만연하면서 대형 ISP들에서는 자체적으로 탐지/차단시스템을 운용합니다. 어느 한 사이트에 공격이 들어오면 근처 네트웍전체가 영향을 받으니 초기에 IX나 ISP의 상단에서 유해트래픽을 차단하기도하고 트래픽을 필터링장비로 우회시키기도합니다. 그러니 어떤면에서는 말단의 일반가입자네트웍(혹은서버)에 ddos방어시스템을 운영하는것이 별 의미없을수도 있죠. 규모가 그리 크지않다면 시스템(개발포함)을 좀더 탄력적으로 설계운영하는것이 그나마 대안이라봅니다. 예산이 된다면 신형보안장비나 로드밸런서같은것들에 간단한 dos는 방어할수 있는것들이 있으니 도움이 될수도 있겠구요. 공격패턴에따라 다르기는하지만 ddos가 들어오더라도 공격자 IP갯수는 수십~수백개규모이기때문에(좀비PC들도 다 돈이고, 여러번 쓰기 어렵거든요) 적절한 라우터/웹서버로그를 분석하여 라우터나 스위치에서 차단하여 어느정도 효과를 기대할 수도 있습니다. 참고로, dos공격은 종류가 많아요. 보통 트래픽공격을 이야기하는데, 트래픽공격자체에도 종류가 다양합니다. 사용자가 필요로한 서비스를 못받도록하는것이 공격자의 목표이기때문에 다양한 지점에 다양한 공격이 가능합니다. 라우터, 방화벽, 스위치, 로드밸런서, DB, 웹서버, WAS 등 어느 지점 한곳에 어떤 문제든 생겨서 서비스에 차질이 생기면 공격자의 의도는 성공하는거죠. 그리고 요즘 ddos공격이 만연하면서 대형 ISP들에서는 자체적으로 탐지/차단시스템을 운용합니다. 어느 한 사이트에 공격이 들어오면 근처 네트웍전체가 영향을 받으니 초기에 IX나 ISP의 상단에서 유해트래픽을 차단하기도하고 트래픽을 필터링장비로 우회시키기도합니다. 그러니 어떤면에서는 말단의 일반가입자네트웍(혹은서버)에 ddos방어시스템을 운영하는것이 별 의미없을수도 있죠. 규모가 그리 크지않다면 시스템(개발포함)을 좀더 탄력적으로 설계운영하는것이 그나마 대안이라봅니다. 예산이 된다면 신형보안장비나 로드밸런서같은것들에 간단한 dos는 방어할수 있는것들이 있으니 도움이 될수도 있겠구요. 공격패턴에따라 다르기는하지만 ddos가 들어오더라도 공격자 IP갯수는 수십~수백개규모이기때문에(좀비PC들도 다 돈이고, 여러번 쓰기 어렵거든요) 적절한 라우터/웹서버로그를 분석하여 라우터나 스위치에서 차단하여 어느정도 효과를 기대할 수도 있습니다.



bigmaster 2014-10 그렇군요. 감사합니다. 그렇군요. 감사합니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

3015/5678

번호	제목Page 3015/5678	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4941027	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4941027 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1477874	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1477874 1 백메가
53273	XtremeWorkstation 5548 이건 어디까지 지원하는지요. (8)	승후니도쿄	2011-12	5175	0
XtremeWorkstation 5548 이건 어디까지 지… (8) 2011-12 5175 1 승후니도쿄
53272	하스웰급 제온이 나온다는대. (3)	방o효o문	2013-06	5175	0
하스웰급 제온이 나온다는대. (3) 2013-06 5175 1 방o효o문
53271	아답텍 scsi 카드 29160 질문 (3)	김종율	2007-06	5175	17
아답텍 scsi 카드 29160 질문 (3) 2007-06 5175 1 김종율
53270	os (비스타)설치후..	이상정	2009-08	5175	0
os (비스타)설치후.. 2009-08 5175 1 이상정
53269	320-2e 레이드 카드 질문드립니다. (3)	노하석	2006-08	5175	12
320-2e 레이드 카드 질문드립니다. (3) 2006-08 5175 1 노하석
53268	하퍼타운 린필드 성능차이 (2)	AplPEC	2016-01	5175	0
하퍼타운 린필드 성능차이 (2) 2016-01 5175 1 AplPEC
53267	XP프로에서 Checkdisk 넘어가는 법이 없을까요? (4)	김영기	2006-01	5175	4
XP프로에서 Checkdisk 넘어가는 법이 없을… (4) 2006-01 5175 1 김영기
53266	손견권님께 질문드립니다..... (4)	정현문	2008-01	5175	9
손견권님께 질문드립니다..... (4) 2008-01 5175 1 정현문
53265	레이드 10 풀림 (1)	이정찬	2007-12	5176	9
레이드 10 풀림 (1) 2007-12 5176 1 이정찬
53264	ddr3 일반메모리가 장착되는 서버용 듀얼 보드가 있을까요? (7)	날개승호	2012-10	5176	0
ddr3 일반메모리가 장착되는 서버용 듀얼 … (7) 2012-10 5176 1 날개승호
53263	파워가 딸리까요?.. (4)	김성진	2007-02	5176	32
파워가 딸리까요?.. (4) 2007-02 5176 1 김성진
53262	그래픽카드 추천바랍니다. (4)	최운길	2006-05	5176	2
그래픽카드 추천바랍니다. (4) 2006-05 5176 1 최운길
53261	[완료]esxi 5.1 호스트 하드 이전, 문의 드립니다. (5)	BMMen	2013-07	5176	0
[완료]esxi 5.1 호스트 하드 이전, 문의 … (5) 2013-07 5176 1 BMMen
53260	문의드림니다?? (3)	불무골	2012-01	5176	0
문의드림니다?? (3) 2012-01 5176 1 불무골
53259	서버 메인보드 질문드립니다. (14)	방o효o문	2012-03	5176	0
서버 메인보드 질문드립니다. (14) 2012-03 5176 1 방o효o문
53258	OS의 HDD 용량제한과 INT13 bios (1)	조재영	2007-01	5176	14
OS의 HDD 용량제한과 INT13 bios (1) 2007-01 5176 1 조재영
53257	파일 비교, 정렬 하는 방법 좀 가르쳐 주십시요. (3)	정형철	2009-01	5176	3
파일 비교, 정렬 하는 방법 좀 가르쳐 주… (3) 2009-01 5176 1 정형철
53256	기가랜 환경에서 속도가 제대로 안 나옵니다. (11)	검은콩	2017-09	5176	0
기가랜 환경에서 속도가 제대로 안 나옵니… (11) 2017-09 5176 1 검은콩
53255	PCBANK 모니터 pbm-x240w 아답터 (2)	이형동	2014-06	5176	0
PCBANK 모니터 pbm-x240w 아답터 (2) 2014-06 5176 1 이형동
53254	아래 피씨에 두개의 랜카드 쓰는 것에 대해 추가질문요... (4)	김건우	2014-06	5176	0
아래 피씨에 두개의 랜카드 쓰는 것에 대… (4) 2014-06 5176 1 김건우