> 뉴스 > 제품가이드 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
진일보된 알고리즘으로 DDoS 공격 철저 방어
인텔리가드 / DPS 시리즈
2008년 07월 10일 00:00:00 오현식 기자 hyun@datanet.co.kr
인텔리가드의 DPS 시리즈는 기존 DDoS 방어 제품과는 차별화된 제품이다. 단순 공격 차단을 넘어서, 대량의 DDoS 공격중에도 트래픽을 선별, 우선순위 부여를 통해 정상 접속자의 트래픽이 서버에 도달하도록 보장함으로써 서비스 연속성을 보장한다. 1Gbps 솔루션에서부터, 10Gbps 인터페이스를 지원하는 솔루션까지 폭넓은 제품 라인업은 인텔리가드 DPS 시리즈가 가진 또 다른 강점이다. <편집자>

진일보된 알고리즘으로 DDoS 공격 철저 방어

인텔리가드의 DPS(DDoS Protection System) 시리즈는 ‘학습-등급-보호’ 기법에 기반해 기존 IPS나 방화벽으로는 처리할 수 없는 대규모의 DDoS 공격 중에도 비즈니스의 연속성을 보장하는 DDoS 공격 차단 시스템이다. 인텔리가드의 멀티 기가비트 장비는 망 구성을 변경할 필요 없는 인라인 상태로 설치돼 최대한의 정상 트래픽을 보호 대상 서버로 전달하는 데 중점을 두고 최고의 정확도, 성능, 정밀한 방어를 제공하며, 라인 스피드로 동작한다. 또한 모든 네트워크 트래픽에 대해 실시간 모니터링과 통계 보고서를 제공한다.

학습-점수화-보호 방어 알고리즘
인텔리가드가 채택한 학습(Learn)-점수화(Rank)-보호(Protect) 알고리즘은 DDoS 공격 발생시 정상 트래픽과 공격 트래픽을 정교하게 구분하도록 한다. 정밀한 대역폭 확보 알고리즘이 접속이 허락된 정상 클라이언트의 수를 최대한으로 보장하기 때문에 서비스 공급자가 차별화된 고급 서비스를 고객에게 제공할 수 있고, 사이트 운영자가 더 많은 트랜잭션을 수행할 수 있으며, 실제 고객이 안정적이며 빠른 속도로 온라인 접속을 할 수 있도록 도와준다.

· 학습(Learn)
장비로 유입되는 트래픽은 특허에 기반한 다양한 분석 모듈을 통과하게 되며, 분석 모듈들은 능동적으로 클라이언트를 분석하고 분류한다.
· 점수화(Rank)
각각의 클라이언트는 최고, 최저 유효성 점수를 갖은 1천600만개의 클라이언트들 중에서 자신의 점수를 할당받는다. 이러한 점수는 입력되는 트래픽의 특성을 반영해 연속적으로 수정되는데 오랫동안 적법하게 진행되는 패턴을 가진 클라이언트의 경우 높은 점수를 부여받아 높은 등급을 갖게 된다.
· 보호(Protect)
DDoS 공격이 발생하면, 가장 낮은 점수를 갖고 있는 클라이언트로부터의 트래픽이 먼저 폐기된다. 공격자일 확률이 가장 높은 클라이언트로부터의 트래픽이 필요한 만큼만 먼저 차단되게 된다.

지능적인 트래픽 관리
인텔리가드 DPS 시스템은 네트워크의 각 요소들을 독립적으로 보호하기 위해 다단계의 트래픽 관리 시스템을 제공한다. 트래픽 관리 시스템은 최대 6만4천개의 보호 대상들을 최대 5단계의 트리로 구성해 관리할 수 있다.
각 대상들은 네트워크 내에서 트래픽이 전달되는 링크(파이프), 고객 망, 호스트, 서비스와 포트/프로토콜과 같은 트래픽이 전달되는 목적지를 나타낸다. 각 대상들에는 대역폭 제한과 ‘바이트’, ‘패킷’, 그리고 ‘SYN’ 패킷에 대한 보장 비율 등을 설정할 수 있다. 다음 <그림>은 5단계를 갖는 구성의 예로 원 내의 숫자는 각 대상들에 설정된 대역폭 제한값을 나타낸다.
제한값(리미트)은 보호 동작을 시작하게 하는 트래픽 임계치다. 이 값은 보호 대상이 안정적으로 수용할 수 있는 트래픽의 양이거나, 서비스 제공자가 고객에게 제공할 트래픽의 양일 수 있다. 제한 값을 설정함으로써 낮은 대역폭의 서비스를 공격으로부터 보호할 수 있고, 공격받는 노드에 대한 트래픽에 대해서만 필터링 동작을 수행하도록 제한해 보다 정밀한 보호 동작을 수행할 수 있게 된다.
보증값(개런티)은 네트워크 상태와 관계 없이 보호 대상에게 사용이 허가된 최소한의 값이다. 한 보호 대상에게 보장된 대역폭은 필요할 경우에 사용되며, 사용되지 않은 대역폭은 다른 보호 대상이 일시적으로 자신에게 할당된 보증된 대역폭보다 더 많은 대역폭이 필요할 경우 동적으로 이를 할당해주게 된다. 보증값은 필요한 곳에 네트워크 용량을 할당하는데 사용되고, 보호 대상이 속한 네트워크나 서버 일부가 공격을 받을 때라도, 공격 대상이 아닌 보호 대상을 잠재적인 폭주로부터 보호하는데 사용된다.
이러한 설정을 통해 물리적인 망의 재배치 없이 최고 가용성을 갖는 네트워크 세그먼트를 생성할 수 있고, 네트워크의 트래픽이 과도할 경우 자동으로 우선순위가 낮은 고객의 트래픽부터 제어하는 효과를 발생할 수 있다.

최대 처리량·최소 지연시간
인텔리가드 DPS는 공격자가 생성하는 가장 최악의 트래픽 상황에서도 최고 수준의 보호를 제공하는 것을 목표로 개발됐다. 인텔리가드의 시스템은 64바이트 크기의 패킷에서도 모든 보호 기능을 수행하면서 최소한의 지연시간으로 라인레이트(Line Rate) 처리 성능을 갖는다.
일반적인 안티DDoS/DoS 제품들이 제품 기능을 제한한 경우에도 라인레이트(Line Rate)의 패킷을 처리하지 못하는 반면, 인텔리가드 DPS는 어떠한 형태의 네트워크 트래픽에 대해서도 양방향 2~20Gbps의 처리 능력과 50마이크로초 이내의 지연시간을 자랑한다. 또한 1천600만개의 IP 주소를 관리하면서 탐지된 침입에 대하여 1초 이내에 방어 동작을 수행할 수 있는 능력이 제공된다.
인텔리가드 DPS는 주변 장치에게 이더넷 스위치나 브리지와 같은 단순한 레이어2 장비로 동작하기 때문에 IP 주소, 라우팅 프로토콜 구동, 네트워크에 어떠한 추가 설정 등도 필요없다. 하드웨어/소프트웨어/전원의 문제가 발생할 경우, 네트워크 인터페이스는 자동으로 하드웨어적인 바이패스 모드로 변환돼 장비를 단순 연결 링크로 만든다.


■ 문의 : 무진시스템
■ 전화 : 02-2026-4577
■ www.mujinsystem.com

오현식 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr