IP traceback

이번에도 certcc 메일링에 올라온글을 올려봅니다. 이번엔 제가 참고하려고
올리는군요. 글의 내용을 임의로 수정할경우도 있을겁니다.

질문내용 =>

IP traceback 하는 방법은 어떤것이 있나요?

DOS 공격의 공격자를 찾아내는 방법중에 IP traceback 이라는 방법이 있는것으로 알고 있습니다.
IP를 역추적하는거 같은데, 어떤 방법들이 있나요?
그리고 얼마나 정확하게 찾아낼 수 있나요?
아시는 분들은 좀 알려주시기 바랍니다.

답변내용 =>

작성자 : 홍석범

일단 DoS 공격의 가장 큰 특징중 하나는 "소스 IP를 속인다" 는 것입니다.
그렇기에 공격자의 소스를 찾는것은 매우 어려우며 각 ISP에서
적극적인 협조를 하지 않는 한 현실적으로 거의 불가능하지 않을까 합니다.
그나마 공격지 소스가 하나의 AS Area 내라면 가능하겠지만
여러 AS area 를 거친다면 각 ISP 담당자간의 빠른 협조가 필수라고 봅니다.

이와 관련하여 아래의 자료를 참고하시기 바랍니다.

#Tracking Spoofed IP Addresses
http://www.cymru.com/~robt/Docs/Articles/tracking-spoofed.html
여기에서는 CEF 가 enable 되어 있는 상태에서 netflow 를 이용하여
추적하는 방법에 대해 간단히 보여주고 있습니다.
이 주제와 관련된 몇 개의 링크도 같이 있습니다.

# ISP Security Essentials
http://www.mink.de/academics/wan/papers/ISP_Security_Essentials_v5.pdf
이 문서는 Cisco 라우터의 전반적인 보안 설정에 대해 설명하고 있지만
뒷 부분에 보시면 DoS 공격을 탐지하는 방법에서부터, 추적 및 대응하는
방법에 대해 상세히 설명하고 있습니다.

아울러 물론 busy 한 border 라우터에 설정하기에는 무리가 있겠지만
각 단말 라우터에 ingress / egress 필터링을 한다면
그나마 스푸핑된 DoS는 많이 줄일 수 있지 않을까 합니다.