DDoS 공격을 받아 웹 서비스가 다운되는 모습을 'Zabbix'로 감시해 보았습니다.

■ 개요



2017년 6월 하순, 중국이나 한국의 금융기관이 공격 그룹으로부터 DDoS 공격의 협박을 받고 있었던 것 같습니다.

▼JPCERT/CC
htps //w w. jp rt. 오 r. jp / 네 wsf sh / 2017062901. HTML

같은 시기(6월 29일) 일본에서도 일부 금융기관에서 통신장애가 발생했습니다.

사전에 DDoS 대책을 실시해, 공격을 미연에 막는 것은 현재의 기술로는 어렵습니다만,
재빨리 공격을 검지하는 것으로 피해를 최소한으로 막을 수 있습니다.
그래서 Zabbix에서 DDoS 공격을 감지할 수 있는지 확인해 보았습니다.

■ 검증 환경



◆공격측(봇넷)



 C&C 서버 : Ubuntu 16.04(1대)
봇 : CentOS 7.3(3대), Ubuntu 16.04(2대)

◆표적(타겟)



 Ubuntu 16.04
Apache HTTP Server 2.4
WordPress 4.7

◆ Zabbix 서버



CentOS 7.3
 Zabbix 3.0

■ 검증 방법



봇넷에서 대상에 대해 F5 공격을 수행하고 Zabbix에서 웹을 모니터링했습니다.

■ 검증 결과



DDoS 공격 전에는 200(정상)이었던 HTTP 응답 코드가,
DDoS 공격 시작 45초 후에는 500(서버 오류)이 되었습니다.

◆DDoS 공격 전





◆DDoS 공격 개시 45초 후





■ 정리



DDoS 공격이 시작되자마자 서비스가 불가능해지고 DDoS 공격의 징후를 감지하는 것은 어렵습니다.
그 때문에 피해를 최소한으로 막기 위해서는 DDoS 공격을 받았을 경우의 인시던트 리스폰스를 사전에 준비해 두어야 합니다.
 
 

좋은 웹페이지 즐겨찾기