Storm Control
-
Upload
jo-yangkyu -
Category
Documents
-
view
36 -
download
0
Transcript of Storm Control
2
Unknown DDoS Attack
Root Switch
G1/0/24
F1/0/1
F1/0/1
F1/0/2
F1/0/2
F1/0/24
F1/0/24
F1/0/1F1/0/2G4/0/24
Cat 37501.1
Cat 37501.2
Cat 37501.3
Cat 37501.254
Unknown DDoS Attack
알려지지 않았거나 예상치 못한 과다한 Traffic으로 인한 Switch 이상 장애 발생
대학 , 기업 , SP 가입자 측에서 대량의 DDoS 유형Traffic 전송으로 인해 Access Switch, 보안장비, 라우터 등 네트워크 장비 마비
3
Storm-Control 기능을 통한 Attack Defense
Semi IPS SwitchSemi IPS Switch - Storm Control PPS Limit - Storm Control PPS Limit 기능 기능 !!!!!!
Storm Control PPS Storm Control PPS 기능 기능 EnableEnable
수동 수동 Enable Enable
자동 자동 ForwardingForwardingAction : 800 PPS Action : 800 PPS 이상 일 경우이상 일 경우
Shutdown Shutdown
BlockingBlocking
SNMP Trap LogSNMP Trap Log
Flow Flow MonitoringMonitoring
PPS
시간
일반사용자
Power user
30
100
800
8000
4
Storm-Control 기능을 통한 Attack Defense
FastEthernet PKT(Byte) Max. PPS
100,000,000 64 148,810
100,000,000 128 84,459
100,000,000 256 45,290
100,000,000 512 23,496
100,000,000 1,024 11,973
100,000,000 1,518 8,127
FastEthernet 환경에서의 Storm-Control Policy 구현 예제
FastEthernet 환경에서의 PC 성능
전제조건100Mbps NIC Card 의 일반적 성능 30~40Mbps이하 ..
정상적인 Packet 전송
정상적인 Packet 일 경우 1500byte 이상 크기의Packet 과 64byte 의 Packet 비율은 7:3 이하의 비율 유지 ( 일반 기업 Netflow 분석 결과 )
1500Byte 기준 40Mbps 사용 시 Max PPS 는 3000 PPS 내외 FTP, P2P, 대용량 파일 전송 등 …64byte 기준 40Mbps 사용 시 Max PPS 는 44,400 PPS 비정상적인 Data 일 가능성 매우 높음
5
Unknown DDoS Attack -1 TCP Syn Flooding Attack 발생 예제
3750-1#sh storm-control unicast
Interface Filter State Upper Lower Current
--------- ------------- ----------- ----------- ----------
Fa1/0/47 Forwarding 500 pps 500 pps 2 pps
3750-1#sh storm-control unicast
Interface Filter State Upper Lower Current
--------- ------------- ----------- ----------- ----------
Fa1/0/47 Blocking 500 pps 500 pps 7.85k pps
피해 시스템 - Attack 발생 전
피해 시스템 - Attack 발생 후
6
Unknown DDoS Attack -2TCP Syn Flooding Attack 발생 예제
Storm Control 적용 전 Storm Control 적용 후- port 당 500pps 제어
7
Unknown DDoS Attack -3TCP Syn Flooding Attack 발생 예제
공격자 ( 감염시스템 ) - Attack 발생 공격자 ( 감염시스템 ) - Attack 제거 후
공격자 ( 감염시스템 ) - Atta
ck 제거 후
port blocking fo
rwarding 으로
자동 복구 기능 제공 !!!
8
Unknown DDoS Attack DefenseStorm Control 을 통한 방어 config
interface Gigabit 1/0/2 description “TCP Syn Flooding Attack-->StormControl-Test" switchport access vlan 10 switchport mode access storm-control unicast level pps 500 400
# 500 PPS 이상 발생시 자동 Blocking, 400PPS 이하로 떨어질 경우 Recovery
Storm-control action trap
# SNMP Trap 을 통해 NMS 에 자동 통보
storm-control action shutdown
# Blocking 없이 임계치 값을 상회하였을 경우 shutdown/ 반드시 수동 복구
Storm Control 을 통한 Attack 방어 예제