표제지
목차
약어표 9
논문요약 10
제1장 서론 11
제2장 봇넷의 이론적 배경 13
제1절 봇 및 봇넷의 정의 13
제2절 봇넷의 구조 및 특성 14
1. 봇넷 Life-Cycle 14
2. 봇넷 C&C 구조 및 통신 특성 16
제3절 봇넷 탐지 방법 22
1. 허니팟 기반 탐지 22
2. 네트워크 기반 탐지 24
제3장 봇넷 대응 기술 및 국내외 대응 현황 28
제1절 BGP 블랙홀 기법 28
1. BGP 블랙홀 정의 28
2. BGP 블랙홀 동작방식 28
제2절 DNS 싱크홀 기법 29
1. DNS 싱크홀 정의 29
2. DNS 싱크홀 적용효과 30
3. DNS 싱크홀 동작방식 30
제3절 국내외 봇넷 대응 현황 32
1. 해외 대응 현황 33
2. 국내 대응 현황 34
제4장 DNS 싱크홀 액티브 모니터링 방안 제안 37
제1절 봇 수집 확대 및 운영구조 개선 필요성 37
1. 봇 감염PC 수집 한계 37
2. 봇넷 규모 분석 및 탐지 활용 38
제2절 봇 수집 확대 및 봇넷 분석 방안 39
1. 봇넷 규모 분석 방안 39
2. 봇 감염PC 수집 확대 및 봇넷 분석 방안 40
제5장 시스템 구현 및 개선효과 분석 43
제1절 시스템 구현 43
1. 시스템 구조 43
2. 싱크홀 전용 DNS 서버 구현 44
3. 싱크홀 게이트웨이 구현 47
제2절 개선효과 분석 57
1. 봇 감염IP 수집 분석 57
2. 봇넷 규모 분석 61
3. 봇넷 통신 분석 62
제6장 결론 69
참고 문헌 71
ABSTRACT 73
[표 5-1] 기존 C&C 도메인 Zone 설정파일 44
[표 5-2] 기존 C&C 도메인 Zone 파일(zone.com) 45
[표 5-3] 변경된 C&C 도메인 Zone 설정파일 45
[표 5-4] Zone 파일 자동생성 스크립트 46
[표 5-5] 싱크홀 가상IP → 실제 C&C 서버 IP 변환 스크립트 48
[표 5-6] 싱크홀 가상IP → 실제 C&C 서버 IP 변환 결과 48
[표 5-7] 트래픽 재접속 구현 스크립트 51
[표 5-8] SNORT 및 IPTABLES 연동 설정 및 옵션 설명 54
[표 5-9] FORWARD 체인의 NFQUEUE 타겟 등록화면 55
[표 5-10] 통신 차단 Rule 설정 55
[표 5-11] 전체 패킷 분석결과 요약 57
[표 5-12] HTTP 프로토콜 분석결과 요약 63
[표 5-13] 레퍼러 URL 분석결과 요약 64
[표 5-14] DNS 프로토콜 분석결과 요약 66
[그림 2-1] 대표적인 IRC 봇넷 구성 13
[그림 2-2] 일반적인 봇넷 Life-Cycle 14
[그림 2-3] IRC 봇넷 통신 구조 19
[그림 2-4] P2P 봇넷 통신 구조 19
[그림 2-5] HTTP 봇넷 통신 구조 20
[그림 3-1] BGP 블랙홀 동작 구조 29
[그림 3-2] DNS 싱크홀 구성요소 및 권한 DNS 설정과정 31
[그림 3-3] DNS 싱크홀 기본 동작 절차 32
[그림 3-4] KISA-ISP 간 DNS 싱크홀 운영체계 동작 절차 35
[그림 3-5] 감염PC 사이버 치료체계 동작 절차 36
[그림 4-1] 봇넷 규모 분석 절차 40
[그림 4-2] 봇 감염PC 수집 및 봇넷 통신 분석 절차 42
[그림 5-1] 구현 시스템 전체 구조도 43
[그림 5-2] Zone 생성 모듈 동작 구조 46
[그림 5-3] 규모 분석 모듈 동작 구조 47
[그림 5-4] 싱크홀 게이트웨이 네트워크 주소변환 흐름도 50
[그림 5-5] SNORT-IPTABLES 연동 구조도 54
[그림 5-6] 봇 감염IP별 C&C 도메인 접근 개수 TOP 10 58
[그림 5-7] 봇 감염IP의 C&C 도메인 접근 개수별 비율 58
[그림 5-8] 프로토콜 유형별 패킷 및 출발지 IP 수 59
[그림 5-9] IRC 및 HTTP 봇 수집 상대 비교 60
[그림 5-10] IRC 프로토콜 접근 포트 비율 60
[그림 5-11] 봇넷 규모 TOP 10 61
[그림 5-12] C&C 서버별 도메인 호스팅 수 TOP 10 62
[그림 5-13] C&C 서버 호스팅 국가 비율 62
[그림 5-14] 봇 유포 경유지 도메인별 URL 수 65
[그림 5-15] 호스트 네임별 DNS 응답 수 67
[그림 5-16] 호스트 네임별 V/T 악성도메인 탐지 비율 68