자동화 공격이란

---

자동화 공격이란?

웹 어플리케이션에 정해진 프로세스에 자동화된 공격을 수행함으로써 자동으로 수많은 프로세스가 진행되는 취약점

• 예를 들어 게시판의 글을 수도없이 많이 남겨 정상적인 기능을 하지 못하도록 공격하는 것이다.
• 이 공격이 반복된다면 데이터베이스의 용량이 부족하여 서버의 과부화가 발생할 수 있다.

---

자동화 공격 대응 방안

• 데이터 등록이 일회성이 될 수 있도록 별도의 확인 값을 추가한다.
• 짧은 시간에 다량의 패킷량이 전송되므로 공격으로 방어할 수 있는 IDS/IPS 시스템을 구축한다.
• 캡챠 사용

---

확인 값 추가 방안

• 세션을 감시하며, 세션당 일회용 키를 추가
• 해당 키는 한번 사용되면 refresh되며 refresh된 키값을 client에게 전달
• 이를 통해 기본적인 자동화 공격에 대한 방어 가능 (단순 반복 프로그램 차단 가능)

---

IDS/IPS 시스템

IDS 란

• Intrusion Detection System의 약자
• 침입 탐지 시스템
• 시스템에 대한 원치 않은 조작을 탐지
• 설치 위치와 목적에 따라 호스트 기반(HIDS)과 네트워크 기반(NIDS)의 침입탐지시스템으로 나뉨

HIDS란

• Host-based IDS의 약자
• 컴퓨터 시스템의 내부를 감시하고 분석하는 데 중점을 둠
• 개인의 워크스테이션, 서버에 설치될 수 있으며, 컴퓨터 자체를 제한
• 운영체제에 설치된 사용자 계정에 따라 어떤 사용자가 어떠한 접근을 시도하고 작업을 했는지에 대한 기록을 남기고 추적
• 네트워크에 대한 침입탐지는 불가능하며, 스스로가 공격 대상이 될 때만 침입을 탐지하는 방식
  
  • 트로이목마, 논리폭탄, 백도어 탐지
  • ex) Tripwire

NIDS란

• Network-based IDS의 약자
• 네트워크를 통해 전송되는 패킷 정보 수집 및 분석하여 침입을 탐지하는 시스템
• 감지기를 사용하며, 무차별모드(Promiscuos mode)에서 동작하는 네트워크 인터페이스에 설치되어있음
• IP 주소를 소유하지 않아 직접적인 해커 공격은 거의 완벽하게 방어 가능
• 설치 위치에 따라 감시 대상 네트워크 범위 조절 가능, 별도 서버를 스위치에 연결
• 공격당한 시스템의 공격에 대한 결과는 알 수 없으며, 암호화된 내용 탐지 불가
  
  • ex) Snort

IPS란

• Intrusion Preventing System의 약자
• 침입 방지 시스템
• 공격탐지를 뛰어넘어 탐지된 공격에 대한 웹 연결 등을 적극적으로 막아주는 솔루션
• 침입탐지 기능을 수행하는 모듈이 패킷을 일일히 검사하여 해당 패턴을 분석한 후, 정상적인 패킷이 아니면 방화벽 기능을 가진 모듈로 차단
• 일반적으로 IPS는 방화벽 내부에 설치 ( 방화벽과 연동하여 공격을 탐지할 수 있기 때문 )

---

방화벽, IDS, IPS 비교