현재의 분산서비스거부공격(DDoS Attack)은 단시간내에 대규모의 전파속도 및 전파력을 가지고 있으므로 시스템 및 네트워크에 심각한 영향을 미친다.

이는 과거의 해커들에 의한 시스템 침입 및 공격은 제한된 영역에 대한 영향에 국한된 것에 비하면 국가차원 및 ISP사업자 차원에서 막대한 지장을 초래하고 있다.

원격구동 블랙홀 라우팅(Remote Triggered Blackhole Routing) 기술은 관리하에 있는 다수의 에지(Edge)라우터들을 원격에서 제어하여 특정 목적지로 향하거나 특정한 IP주소로부터 발생한 대규모 패킷들을 효과적으로 차단시킬 수 있는 기술이다. Sinkhole기술은 효과적으로 DDoS 공격 근원지를 추적하고 공격 내용을 분석할 수 있는 기술이다.

이의 장점으로는,

1. 네트워크 장비의 성능에도 많은 영향을 주지 않으면서 손 쉽게 다수의 공격 블랙 리스트를 관리할 수 있다.

2. 추가 적인 보안장비의 도입이 필요없다.

3. 원격에서 쉽게 Edge 라우터들을 이용하여 패킷 차단할 수 있다.

▶원격구동 블랙홀 라우팅 기술

원격구동 블랙홀 라우팅 기술의 핵심은 iBGP를 이용해 라우팅 경로를 AS(Autonomous System)내의 라우터들에게 알려주는 기술과 특정 트래픽을 null0 라우팅하여 drop시키는 기술이다.

이는 기존 망관리 기술을 응용하고, 고가의 보안장비 필요없이 원격에서 iBGP Advertisement를 통해 라우팅 정보를 전달 할 수 있을 정도의 일반 성능의 라우터 정도면 충분하다. iBGP를 이용한 원격구동(Triggering)과 Null0 라우팅을 이용한 블랙홀링은 대부분의 라우터에서 추가적인 장비나 소프트웨어의 지원없이 적용이 가능하다.

★ 목적지 기반 원격구동 블랙홀 라우팅

목적지 기반 원격구동 블랙홀 라우팅 기술은 특정한 목적지로 향하는 모든 트래픽을 edge 라우터들에서 차단할 수 있는 방법을 제공하는 것으로, ISP의 블랙홀 라우터 서버에서 iBGP Advertisement를 위한 준비를 하고, 각 edge 라우터들에 null0 라우팅을 설정해 놓고, 공격이 발생되면 공격대상자에 대한 DNS정보를 변경하고, ISP에서는 각 edge라우터들에게 공격대상 IP로 향하는 패킷들을 drop할 수 있도록 명령을 전달하는 과정을 나타내고 있다.

① 블랙홀 설정을 위해 사용하지 않는 IP주소 선택 : 블랙홀 필터링만을 위해 사용할 IP 또는 IP 블록을 선정, RFC1918에 정의된 사설 IP블록중에서 사용 ex.192.0.2.1

② ISP내의 모든 Edge 라우터들에 위에서 선택된 주소는 Null0 interface로 라우팅 되도록 경로를 설정한다.

  interface Null0

          no icmp unreachable

   ip route 192.0.2.1 255.255.255.255 null0

③ 블랙홀 라우터 서버 및 Configuration

A. Network 내에서 한 대의 라우터를 블랙홀 라우터 서버(Blackhole router server)로 지정하고, 이 라우터는 공격이 발생했을 때 새로운 라우팅 정보를 edge 라우터들에게 알려주는 역할을 수행한다. 즉, iBGP를 통해 edge 라우터들에게 Static route를 redistribution 할 수 있도록 설정되어야 한다.

B. Configuration

router bgp 31337

redistribute static route-map static-to-bgp

route-map static-to-bgp permit 5

match tag 666

set ip next-hop 192.0.2.1

set local-perference 50

set community additive no-expert

set orgin igp

④ DDoS공격 발생시 대응

A.  공격대상 사이트 DNS 정보변경