1:1문의궁금하신 내용을 남겨주세요.
빠르고 신속하게 답변드리겠습니다.

문의드립니다.
  • 작성자
  • 이름
  • 08-04
  • 조회 12,185회
  • 댓글 1건
UTM장비 사용시 디도스공격이 백본에서 null route 되는것이 맞나요?

이전에 사용해본 분의 경험으로 말하면 source IP가 차단되지 않고 destination IP가 차단된다고 해서요..

정상적인 운영을 해야하는데 DDoS공격이 들어와서 문의드립니다.

최대 25Gbps까지 올라가는 듯 합니다.

답변 부탁드립니다. 감사합니다.

댓글목록

친절맨님의 댓글

친절맨 08-05

안녕하세요 스마일입니다.

결론부터 말씀 드리면 UTM 장비 사용시 디도스 공격이 발생하면

백본에서 null route 는 안되며, destination IP 를 차단 해야 합니다. (일반적인 DDOS 방어 체계)


그럼 그 이유를 간단하게 설명 드리겠습니다.

모든 네트워크 통신은 패킷 단위로 이루어 집니다.

DDOS 패킷이 들어올 때에도 그 패킷을 열어 봐야지만 정상 통신인지 DDOS 공격인지

네트워크 장비가 인식을 할수가 있습니다.

보통 네트워크 장비 안에 임시 기억 장치 에서 이 작업이 진행이 되는데 순간적으로 수십 Gbps 단위로 들어오면

네트워크 장비가 패킷 분석시 CPU 과부하나 메모리 FULL 로 인하여 네트워크 장애가 생깁니다.

디도스 공격은 여러 source IP 에서 출발하는 것이라 source IP 를 차단한다고 해결이 안되며,

destination IP 을 null 로 처리함으로 공격 대상이 없어진것으로 인식하고 공격을 중단합니다.


하이온넷 UTM 의 anti-Dos/flooding 기능을 이용하여

특정 호스트가 디도스 패킷을 발생 시키면 자동으로 해당 source IP 를 일정 시간동안 차단시켜 디도스 공격을 막는

기능이 있습니다. 하지만 위의 방어 방법도 UTM 의 임시 기억 장치를 사용하는 부분이라 공격 패턴과 용량에 따라

결과값이 틀리게 나올수가 있습니다.

정확한 답변은 실제 테스트 진행이 필요할듯 합니다.

그럼 다른 궁금한 사항 있으면 언제든 문의 바랍니다.

감사합니다.