Download - RI O REY DDOS 공격 방어 솔루션 The DDOS Specialist
RIRIOOREYREY DDOS 공격 방어 솔루션The DDOS Specialist
• 작성일 : 2008/05/15• 담당 : 신 상 윤• TEL :010-4842-9153• Mail: [email protected]
2http://ddos.tistory.com 02-553-5929 [email protected]
요즘 요즘 10G 10G 이상 공격이 보통이라던데이상 공격이 보통이라던데
구입하고 싶은데 너무 비쌉니다구입하고 싶은데 너무 비쌉니다
정상트래픽 은 서비스가 가능 한가요정상트래픽 은 서비스가 가능 한가요 ??
DDOS
는 가능 합니다
3http://ddos.tistory.com 02-553-5929 [email protected]
가격대비 최고의 성능
Good Traffic Bypass
Packet 단위 마이크로 행태 분석 ( 네트워크 트래픽 분석 안함 )
RioRey 의 알고리즘은 모든 공격들을 정확히 인증
Hardware Bypass 기능을 포함
Max Performance 16G ~ 32G 로 높은 성능을 제공
rView Management 로 NETWORK 트래픽 & DDoS Attacks 에
대한 상세 통계 기록 제공
네트웍 안정성을 위한 전모델 탭 구성이 가능
RIOREY DDOS RIOREY DDOS 방어시스템 주요 특징 방어시스템 주요 특징
4http://ddos.tistory.com 02-553-5929 [email protected]
AGENDAAGENDA
1.1. DDOS DDOS 현황현황
2.2. RIRIOOREYREY DDOS DDOS 솔루션솔루션
3.3. RIRIOOREYREY M.B.A M.B.A 알고리즘알고리즘
4.4. RIRIOOREYREY 특징특징
5.5. RIRIOOREY REY rView & rCarerView & rCare
5http://ddos.tistory.com 02-553-5929 [email protected]
1. DDOS 1. DDOS 현황 현황
• Dos, DDOS Dos, DDOS 차이점차이점
• DDOS DDOS 공격 형태공격 형태
• DDOS DDOS 특징특징
• 기존 보안장비의 한계점기존 보안장비의 한계점
• DDOS DDOS 시스템 요구사항시스템 요구사항
7http://ddos.tistory.com 02-553-5929 [email protected]
●대역폭 공격 (Bandwidth Attacks):
- 정상적으로 보이는 엄청난 양의 TCP, UDP, ICMP Packet 들을 특정한 목적지로 전송
Ex) Packet Over Floorer Attack
● 애플리케이션 공격 (Application Attacks):
특정한 반응이 일어나는 요청 Packet 을 발송하여 해당 시스템의 연산처리 리소스를 소진
Ex)HTTP half-open attack, HTTP Session attack
DDOS DDOS 공격 형태공격 형태
8http://ddos.tistory.com 02-553-5929 [email protected]
① 루트 권한을 획득하는 공격이 아니다 .
② 데이터를 파괴 , 변조하거나 , 훔쳐가는 것을 목적으로 하는 공격이 아니다 .
③ 공격의 원인이나 공격자를 추적하기 힘들다 .
④ 공격 시 차단하기 어렵다 .
⑤ 매우 다양한 공격 방법들이 가능하다 .
⑥ 다른 공격을 위한 사전 공격으로 이용될 수 있다 .
⑦ 사용자의 실수로 발생할 수도 있다 .
DDOS DDOS 공격특징공격특징
9http://ddos.tistory.com 02-553-5929 [email protected]
● 블랙홀링 (BlackHoling):
- Traffic 을 일종의 폐기장소로 보내서 소멸시키는 방법
- 정상적인 Packet 들도 소멸된다 .
●라우터 (Router) 필터링 기법 :
- ACL(Access Control List) 을 이용한 필터링 기능
- 서비스 Protocol 필터링 불가
- IP Spoofing 공격에 대한 한계
- Application Layer 공격에 대한 한계
●방화벽 (Firewall):
- 대용량 Traffic 처리의 한계로 인한 방화벽 자체 Down
- Web, DNS 등 일반적 서비스 Protocol 에 대한 방어 불가
- Spoofing Packet 공격에 대한 취약점
● 침입 탐지 , 방지 시스템 (IDS, IPS):
- 전문가의 세밀한 설정이 필요
- 빈번한 오탐 문제
- 패턴 매칭 방식의 검사
●매뉴얼 반응 (Manual response):
- 관리자가 직접 수작업을 통해 방어
- 즉각적인 대응이 어렵다
- 변조된 Packet 에 대한 검증 불가
기존 보안장비의 한계점기존 보안장비의 한계점
10http://ddos.tistory.com 02-553-5929 [email protected]
DDoS 장비의 오탐으로 서비스 장애 유발 가능성
☞ Attack Packet 차단 , 정상 Traffic 보장
시스템 , 네트워크 , 보호대상 변경 시 자동화된 대응
Base Line 설정 없이 실시간 자동 대응
보안장비 운영으로 망의 Packet Latency 를 고려 .
성능 지연 제거
보안장비의 장애로 인한 망 장애 요소 제거 이중화 , bypass 내장
Source IP Spoofing 에 대한 대응
다양하고 복합적으로 발생되는 공격에 대한 대응
정상Traffic 보장
자동화
다양성
안정성
DDOS DDOS 시스템 요구 사항시스템 요구 사항
11http://ddos.tistory.com 02-553-5929 [email protected]
2. 2. RIRIOOREYREY DDOS DDOS 솔루션솔루션
• RIRIOOREY Over viewREY Over view
• The DDOS Challenge The DDOS Challenge
• RIRIOOREY benefit REY benefit
• High Availability By DesignHigh Availability By Design
12http://ddos.tistory.com 02-553-5929 [email protected]
특허 출원 기술인 특허 출원 기술인 RIRIOOREY REY 의 의 DDOS DDOS 전용 전용 Platform!!!!Platform!!!!
분산 서비스 거부공격 (DDOS) 으로부터의 피해 차단 공격 발생시에도 고객의 네트워크는 서비스 손실 없이 안전한 운영
RIRIOOREYREY Over viewOver view
13http://ddos.tistory.com 02-553-5929 [email protected]
The DDOS ChallengeThe DDOS Challenge
• DDOS 는 일반적으로 대규모 대역폭 공격을 보고 인식 합니다 .
• 공격이 진행되는 동안 대량의 Botnet Source IP 공간으로 채워 집니다 .
Normal Traffic
Intrusion Traffic
DDOS Traffic
NormalUnder Attack Normal Under Attack
Incoming Bandwidth Incoming IP Address Space
RioRey FilterRioRey Filter
RIOREY 는 DDoS 의 주요 발생지에 Focus 를 맞추어 , 공격의 모든 대역폭 및 IP 주소를 filter 합니다
- 시스템 내에서 일반적인 처리 가능한 규모로 공격을 대폭 줄여줌
- 정상 Traffic 은 보존하면서 대규모 공격 traffic 집중 처리
Incoming IP Address SpaceIncoming Bandwidth
14http://ddos.tistory.com 02-553-5929 [email protected]
RIRIOOREYREY Benefit Benefit
신속한 대응신속한 대응신속한 공격 탐지 및 차단
관리의 편리성관리의 편리성자동화된 Process – 운영에
대한 Training 과정 필요 없음
세부적 대응세부적 대응공격 Traffic 만 차단
정상적인 Traffic 은 보호
가격대비성능가격대비성능높은 성능과 저렴한 도입 비용을 통한
빠른 ROI 실현
빠른 구축시간빠른 구축시간30 분 이내 모든 구축 작업 완료
신속한 대응신속한 대응신속한 공격 탐지 및 차단
관리의 편리성관리의 편리성자동화된 Process – 운영에
대한 Training 과정 필요 없음
세부적 대응세부적 대응공격 Traffic 만 차단
정상적인 Traffic 은 보호
가격대비성능가격대비성능높은 성능과 저렴한 도입 비용을 통한
빠른 ROI 실현
빠른 구축시간빠른 구축시간30 분 이내 모든 구축 작업 완료
DDoS 방어를 위한 걸림돌은 또 있다 .
ISP 와 IDC 가 도입하기에는 결코 만만
치 않은 보안장비 가격이 바로 그것이
다 . 현재 시장에서 1, 2 위를 차지하고
있는 DDoS 전용 장비는 7 천 만원을 호
가 한다 . 또 일부 제품은 네트워크 변경
및 관리가 쉽지 않다는 단점이 있다 .
소규모 ISP 가 감당하기에는 부담스럽
다는 지적이다 .
(08.03.25 Inews.com 기사 일부 )
15http://ddos.tistory.com 02-553-5929 [email protected]
• 전면 설치 , RioRey RX 제품은 고 가용성 시스템으로 설계되었다 .
(>> 99.995%)
• Fiber 또는 Copper 연결에 유연한 통합 케이블 관리 • Multiple watch dogs 을 통한 hardware ,software 고 가용성
점검‣ 시스템 Failure 발생시 자동 restart‣ Software failures 발생시 Factory Reset 을 통한
Default setup Recover 능력(Bypass 동작 Network Traffic 끊기지 않음 )
• 모든 장비의 하드웨어 Bypass 제공을 통한 System failure 시에도 안정적인 네트워크 연결
• DDOS 전용 H/W, S/W 일체형 설계
• 전원 , Power Supplies 이중화 및 hot swappable 기능
High Availability By DesignHigh Availability By Design
16http://ddos.tistory.com 02-553-5929 [email protected]
3. 3. RIRIOOREYREY M.B.A M.B.A 알고리즘알고리즘
• Detect EngineDetect Engine
• Protocol Conformance Protocol Conformance EngineEngine
• Scan Identification EngineScan Identification Engine
• Application Conformance Application Conformance EngineEngine
(Micro-Behavioral Analysis)
17http://ddos.tistory.com 02-553-5929 [email protected] 17
Scan Identi 엔진
ProtocolConform엔진
Application
Conform엔진
Dynamic Filtering 엔진
• Syntax 검사 - HTTP 요청의 잘못된 syntax 검사
• Timing relationship – ICMP, UDP 공격탐지 ,Packet 의 조밀도 및 분산 여부를 모니터링
• Responsiveness - 정상적인 handshake 응답 과정을 모니터링 , 결과값을 이용 IP Spoofing 공격을 판단 하는데 가중치 로 사용 .
• Address & Data randomness – 정상 Data 와 유해 Data 의 철저한 연구 ,spoofed 공격을 확인하는 데에 매우 효과적 .
• Victim 응답 pattern – Victim’s 의 응답 패턴을 관찰 , 만일 응답 패턴이 유효 하면 계산된 결과를 Good Packet Traffic 정보에 적용 .
RIRIOOREY REY DetectDetect Engine Engine
18http://ddos.tistory.com 02-553-5929 [email protected]
Protocol
Conform
Engine
Traffic
…
TCP Port
UDP Size
ICMP Type
IP Address
• TCP traffic 에 사용
• 전용 engine 이 TCP handshakes 를 모니터 하고 탐지
• TCP streams 의 변형된 자료 Sampling
• Sample engines - victim IP 로 가는 모든 Traffic 에 대해 집중적인 검사
• 정상 traffic 통과 , 공격 packet 차단
Protocol ConformanceProtocol Conformance EngineEngine
19http://ddos.tistory.com 02-553-5929 [email protected]
• Scan Identification 엔진은 random 한 IP 와 Port Scanner 를 탐지 하는데 사용됩니다 .
• Scanner 엔진은 광범위하게 들어오는 IP address scan 이나 Port Address scan 에 빠르게 공격을 정의 합니다 .
• scanner 는 어떤 일이 발생하면 이를 System 에 경보하고 , 잠재하는 victim address 와 ports 에 ‘특별한 주의’ 적용합니다 .
Scan
Identifi Engine
Traffic
…Scan Identification Scan Identification EngineEngine
20http://ddos.tistory.com 02-553-5929 [email protected]
• 다수의 Application 을 해석한 algorithms을
포함하고 있습니다 .
• 이 알고리즘은 REOREY 가 Application 행태를 분석하고 계획된 Application 대로 움직이지는 지를 추적합니다 .
• Riorey 의 Application Lab 은 다양한 Application 을 이해하고 Model 화 될 수 있도록 지속적으로 Test 하고 분석 합니다 .
• Riorey 는 Application Level 에서 Good Traffic 을 보장하기 위해 많은 Test 를 지속적으로 수행 하고 있습니다 .
• Test 한 결과를 통해 다양한 Application 의 정상 연결 Session 과 불량 Session 을 식별하는데 중요한 자료로 사용 됩니다 .
App
Conform
Engine
Traffic
…Application Conformance Application Conformance EngineEngine
21http://ddos.tistory.com 02-553-5929 [email protected]
4. 4. RIRIOOREYREY 특징특징
• 정상 정상 Traffics Traffics 보장보장
• 자동 실행자동 실행
• 신속한 대응 시간신속한 대응 시간
• 다양한 다양한 Product Series Product Series
22http://ddos.tistory.com 02-553-5929 [email protected]
• RIOREY DDOS 솔루션이 네트워크 상에서 여러 주요 공격들 ( 개별 초당 200,000 이상의 packets) 을 을 성공적으로 방어하면서 동시에 99.9946% 의 정상 traffic 을 제공합니다 . 이는 모두 자동으로 진행 되었습니다 .
• 보안장비가 good traffic 을 drop 시킬 경우 , 고객의 안전한 정보 보호를 위한 보안솔루션 구축 의미가 없어지기에 Good traffic 보호는 매우 중요합니다 .
Attack Traffic
Filtering Traffic
RIRIOOREY REY 정상정상 Traffic Traffic 보장보장
23http://ddos.tistory.com 02-553-5929 [email protected]
DDOS 는 복합적인 문제이며 , 방어를 위해 많은 노동을 필요로 합니다 .대부분의 DDOS 방어는 몇 가지 단계의 수작업을 통한 제어를 필요로 합니다 ..
타 솔루션의 경우• 다른 DDOS 알고리즘에서 "training“ 이나 "base lining" 을 위해 사용자는 가능한 공격 Packet 의 list 를 제공받아야 하며 , 이것이 공격이든 아니든 , 사용자는 솔루션은 연산하고 처리할 것임을 의미 합니다 . 이는 유해 traffic 에서 정상 traffic 을 분별해내지 못하도록 하며 , 이 Process 는 user server 나 애플리케이션에 추가 /이동 /변경이 있을 때 마다 지속적으로 사용자 입력을 필요로 합니다 .
With RIWith RIOOREYREY
• 모든 대응이 자동으로 진행 됩니다 .
RIRIOOREY REY 자동실행자동실행
24http://ddos.tistory.com 02-553-5929 [email protected] Product Comparison Presentation
모든 DDOS filtering 제품은 신속한 대응 시간을 필요로 합니다 .
타 솔루션
• 대부분의 제품들을 보면 , 사용자가 제품에 대해 training 과정을 거친 후 , 어느 정도 공격 탐지가 가능하였으며 , 이는 신속하다고 할 수 없습니다 .
With RIWith RIOOREYREY
• 솔루션 실행에 대한 어떤 트레이닝 및 수작업을 필요하지 않습니다 .
• 실제 상황에서 RIOREY DDOS 솔루션의 가장 큰 장점은 어떠한 서비스 및 네트워크 환경에서도
90초 이내 반응하고 대응한다는 것입니다 .
• RIOREY 는 최소 100,000 개 이상의 동시 공격 및 모든 종류의 혼합된 공격 , 그리고 최소 100개의 동시 Victim 에 대해서 이와 같은 수준의 보안을 제공 합니다 .
RIRIOOREY REY 신속한 대응 시간신속한 대응 시간
25http://ddos.tistory.com 02-553-5929 [email protected]
RE500Series
RX1200BSeries
RX2300USeries
RX2300BSeries
RX3300USeries
탐지Interface
1EA 2EA 1EA 2EA 1EA
MediaType
CopperSX/LC, LX/LC
CopperSX/LC, LX/LC
CopperSX/LC, LX/LC
CopperSX/LC, LX/LC
CopperSX/LC, LX/LC
내장 Bypass YES YES YES YES YES
Throughput 400M 1G 2G 2G 3G
MAXPerformances
16G 32G
DDOSFiltering
ICMP, UDP, TCP-SYN, TCP-SYN-ACK,TCP-ACK, TCP-Session, HTTP, P2P, DOS, SYN Flooding, ACK+ Large Data (5월 Version UP 추가 )Random/forged IP Address Attacks, network scans & port scans암호화된 Traffic 처리복합공격처리 : Smurf, Ping Floods, Fraggle, Evasive UDP, UDP scansPulsing zombie, Tribe Flood network(TFN), TFN2K, Stacheldraht, 외
Simultaneous Connections
Unlimited
TypicalLatency
<70 Microsecond
RIRIOOREYREY 다양한 다양한 Product SeriesProduct Series
26http://ddos.tistory.com 02-553-5929 [email protected]
5. 5. RIRIOOREY REY rView & rCarerView & rCare
• rVIEWrVIEW
• rCARE rCARE
• 주요 주요 ReferencesReferences
27http://ddos.tistory.com 02-553-5929 [email protected] 27
RVIEWRVIEW – RI – RIOOREY Management & Monitoring toolREY Management & Monitoring tool
• The real time Graphical User Interface 공격 traffic 모니터 , 알람 통보 , traffic 요약 , victim 과 attack list 를 제공합니다 .
28http://ddos.tistory.com 02-553-5929 [email protected] 28
RVIEWRVIEW – Attack History – Attack History
• Attack 현황 Attack 관련 세부적인 내용을 보여 줍니다 .
전체 Traffic 공격 현황
Protocol 별공격 내용
Attack Level 표기
위험 수위 표기
29http://ddos.tistory.com 02-553-5929 [email protected] 29
RVIEW RVIEW – Operation Mode– Operation Mode
• 운영 Mode- Filter : 탐지된 공격을 차단- Monitor : 공격 탐지 , 차단 하지 않음- S/W Bypass : 탐지 및 차단 하지 않음
30http://ddos.tistory.com 02-553-5929 [email protected]
• rCare 공격에 대한 세부 정보를 제공하는 web tool
• 공격 통계치 분석• 공격 근원지 시각화• 기록된 data 와 공격 비교
• rCare 는 장시간에 걸쳐 DDOS 공격이 어떻게 전개되는지 보여주며 고객이 미래 공격에 대비하여 네트워크를 보다 잘 준비할 수 있도록 정보를 제공합니다 .
rCARErCARE – – RIRIOOREYREY DDOS Analysis Tool DDOS Analysis Tool
31http://ddos.tistory.com 02-553-5929 [email protected]
IT Services / Consulting 대규모의 IT services / Consulting 다국적 기업 .
Satellite Provider미국 내 가장 큰 위성 공급자 (One of the largest Satellite Providers in the US)
Security Services Group대규모 다국적 기업 .
SES Americom
Mahindra SSG
Satyam
Digital Currency Transaction Processing , Canada전세계 가장 안전한 digital 유통거래를 위해 RioRey 구축
ISP , Tennessee :응급 911 서비스를 가동하는 Internet service 공급자고객에게 Premium service 에 대한 추가요금을 부과하고 새로운 수입의 흐름 생성시키기 위해 RioRey 구축
Web Hosting / Collocation / Server Hosting, Chicago전세계 가장 안전한 digital 유통 /거래를 위해 RioRey 구축
Steadfast networks
Dolphin networks
Creditz
RIRIOOREY REY 주요 주요 ReferencesReferences
32http://ddos.tistory.com 02-553-5929 [email protected]
피해 사례피해 사례 박현정 기자 [email protected] 기사등록 : 2008-03-31 오후 07:24:17 박현정 기자 [email protected] 기사등록 : 2008-03-31 오후 07:24:17
33http://ddos.tistory.com 02-553-5929 [email protected]
피해 사례피해 사례 최현철 기자 [[email protected]] 2008.03.22 01:44 입력 최현철 기자 [[email protected]] 2008.03.22 01:44 입력
34http://ddos.tistory.com 02-553-5929 [email protected]
콤우 는 좋은 솔루션 ( 서비스 ) 을 가진 회사와 이를 필요로 하는 ( 잘 사용하여 도움이 될 수 있는 )
회사와의 가교 역할 을 하는 마케팅 전문가 회사 입니다 .
파트너사 :
• 네이트 / 다음 / 야후 / 엠파스 / 현대정보기술 / 베니트 • 탭스랩 / 닥터소프트 / 바이펄스네트웍스 / 삼부시스템 / 가디움 / ORION / 텔로드
회사명 : ㈜콤우시스템 ( )•주소 : 서울시 구로구 오류동 46-1 A302•이사 : 신상윤 Mobile : 010-4842-9153•Tel : 02-553-5929 •Mail : [email protected]•http://www.adminmate.co.kr / http://www.guardium.co.kr / http://www.adminmate.com / http://ddos.tistory.com
주요 취급 제품
•Adminmate2.0 총판•포토서버 X, 포토익스플로러•넷클리닉 , 넷클라이언트 , 인사이터•로그로직 , ORION CEP 총판•마에스트로 , 오로라•가디움 SQL 가드 (DB 접근제어 )•리오레이 (Riorey)
회사소개
T h a n k Y o u