> 뉴스 > 테크가이드 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
네트워크 관리자를 위한 보안 이슈
2003년 12월 01일 00:00:00 장 혁 조선대학교 정보전산원
불과 몇 년 사이에 다양한 네트워크 애플리케이션이 등장했으며, 이에 따라 비약적으로 네트워크 대역폭은 증가하게 됐다. 이를 관리하는 네트워크 관리자들은 더 이상 네트워크 본연의 문제에 따른 안정화에 신경 쓰기보다는 애플리케이션이 요구하는 대역폭을 만족시키기 위한 해결 방안을 모색하는 일에 더 신경을 집중하고 있다. <편집자>

최근 대학과 같이 개방돼 있는 네트워크 상에서 ISP와의 연계를 이루는 왠 라우팅 구간에서의 바이러스 및 네트워크를 통한 공격성 패킷 등의 폭주에 따른 네트워크 시스템 과부하가 골칫거리로 자리잡고 있다.

이와 같은 문제 해결을 위해 이미 구축된 라우터에서의 몇몇 공격성 및 바이러스 패킷의 필터링 룰셋과 네트워크 관리자들이 유용하게 이용할 수 있는 스캔 툴 등을 소개한다.

이 글에서 언급될 공격의 유형은 IP 스푸핑(Spoofing), IP 스캐닝, ICMP 브로드캐스팅, DOS 공격, 바이러스에 의한 스캐닝 및 DOS 트래픽 등으로 커맨드는 시스코 IOS다.


1. 라우터에서의 모니터링 방법

라우터상에서 CPU 사용율과 넷플로우의 상태를 통해 네트워크상에서의 순간 트래픽 분포와 라우터 부하율 그리고 이를 통해 현재 라우터의 상태를 확인할 수 있다.

1-1. 라우터 CPU 사용율을 통한 모니터링



라우터 CPU 부하의 변화를 보고 평소 수치보다 갑작스럽게 증가하지 않았는지 살펴본다. 앞의 값(45%)은 메인 CPU의 사용률이고 뒤의 값(40%)은 캐시 사용률이다. 대부분의 경우 프로세스 스위칭보다 캐시를 통한 패스트 스위칭이나 고사양 라우터의 CEF(Cisco Express Forwarding)를 이용한 스위칭을 함으로써 라우터의 스위칭 기능을 극대화하게 된다.

만일 앞의 값이 뒤의 값보다 현저히 많다면 이는 비정상적인 현상으로 라우팅 테이블을 많이 참조해야 하는 IP 스푸핑 공격이나 바이러스에 의한 DOS성 스캐닝 공격일 확률이 높으며 두 값이 동일하다면 패킷 유입이 많아 패킷을 포워딩하는 것이다. 라우터 CPU의 변동 사항은 MRTG1을 사용하면 더욱 효과적이다.


1-2. 라우터상의 넷플로우를 통한 패킷 모니터링



넷플로우를 통한 라우터상의 패킷 모니터링은 CEF 스위칭을 지원하는 라우터에서만 가능하다.

위의 결과 중 두 번째 줄의 패킷 사이즈에 따른 통계치를 백분율로 표시한 것으로 요사이 문제가 되는 나치(Nachi) 바이러스 및 기타 웜 바이러스들은 60~96바이트 이하의 패킷을 과도하게 유발해 이 수치를 급격히 증가시킨다. 참고로 슬래머 웜의 경우 404바이트다.

CEF와 넷플로우를 라우터상에 인에이블 시키는 방법은 다음과 같다.



이를 통해 현재 라우터 상에서 문제가 되는 패킷들의 넥스트 홉(Next-Hop) 라우팅 경로 및 비정상 패킷을 유포하는 시스템의 IP를 추출할 수 있다. 위의 예에서는 넷플로우를 통해 블래스터 바이러스에 감염된 소스가 TCP(0x06) 135번 포트(0X0087)를 스캐닝하는 것을 보여준다.
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr