참고행위 기반 침입 차단은 비정상적인 패킷의 흐름을 모니터링하여 이상 여부를 판단합니다.
행위 기반 침입 차단 사용: 행위 기반 침입 차단 기능을 사용하도록 설정합니다. 행위 기반 침입 차단을 사용하면 침입 차단 규칙에 따라 시스템을 보호합니다.
행위 기반 침입 차단에서 선택할 수 있는 각 항목의 처리 방법은 탐지, 차단, 사용 안 함 중에서 선택할 수 있습니다. 각 항목을 선택하면 다음과 같이 작동합니다.
탐지: 이상 패킷을 탐지하면 알림 창으로 알려줍니다. 사용자가 알림 창에서 차단 여부를 선택할 수 있습니다.
차단: 이상 패킷을 탐지하면 차단합니다.
사용 안 함: 이상 패킷을 탐지해도 알림 창으로 알려주거나 차단하지 않습니다.
Outbound로 나가는 프로세스를 탐지하여 이상 패킷을 발견했을 경우 차단합니다.
파일 인증 정보 사용: 신뢰할 수 있는 디지털 인증서가 있는 경우에는 패킷을 차단하지 않습니다. 단, 최초 1회는 이상 패킷으로 간주하여 패킷을 차단할 수 있으나 인증서 확인 후에는 이상 패킷으로 차단하지 않습니다.
예외 목록: 이상 패킷 탐지 예외 목록을 추가할 수 있습니다. 예외 목록에 추가한 프로토콜이나 프로세스는 이상 패킷을 발생시키더라도 탐지하거나 차단하지 않습니다.
현재 프로세스에서 발생하는 Outbound 트래픽 중 기준치 이상의 패킷을 발송하는 경우에 DDos 공격으로 규정하여 탐지합니다. 이상 트래픽 탐지의 정확성을 높이기 위해 안랩에서 정한 규칙에 따라 일정 횟수 이상 지속적으로 발생하는 트래픽이 있는 경우 이상 트래픽으로 판단하여 처리합니다. 이상 트래픽의 대표적인 예로는 짧은 기간에 많이 발생하는 패킷, 비정상적으로 단편화된 패킷, 변칙적인 TCP 플래그가 지정된 패킷, 지나치게 잦은 HTTP 통신 패킷 등이 있습니다.
IP 스푸핑은 공격자가 자신의 IP 주소를 변조하여 패킷을 내보내는 공격입니다. V3에서는 시스템에서 발생하는 패킷의 출발지 IP 주소와 실제 IP 주소가 다른 패킷이 발송될 때 IP 스푸핑으로 판단하여 처리합니다.
참고
IP 주소는 네트워크 연결에서 해당 PC를 구분하는 고유 정보입니다. IP 스푸핑은 공격자가 자신의 IP 주소를 조작하는 네트워크 공격으로 공격자의 PC가 자신의 IP 주소가 아닌 다른 IP 주소로 위장하여 통신을 시도하는 공격 기법입니다. 공격 대상이 신뢰하는 IP 주소로 위장하여 접속하면 정보를 빼내거나 네트워크 공격을 시도할 수도 있습니다.
MAC 스푸핑은 공격자가 자신의 MAC 주소를 변조하여 패킷을 내보내는 공격입니다. V3에서는 시스템에서 발생하는 패킷의 출발지 MAC 주소와 실제 MAC 주소가 다른 패킷이 발송될 때 MAC 스푸핑으로 판단하여 처리합니다.
참고
MAC 주소는 네트워크 연결에서 IP 주소와 함께 해당 시스템을 구분하는 고유 정보입니다. MAC 스푸핑은 공격자가 자신의 MAC 주소를 조작하는 네트워크 공격으로 공격자의 시스템이 자신의 MAC 주소가 아닌 다른 MAC 주소로 위장하여 통신을 시도하는 공격 기법입니다. 공격 대상이 신뢰하는 게이트웨이의 MAC 주소로 위장하여 접속하면 정보를 빼내거나 네트워크 공격을 시도할 수도 있습니다.
ARP 스푸핑은 공격자가 자신의 시스템을 게이트웨이로 위장하여 패킷을 내보내는 공격입니다. V3에서는 실제 게이트웨이의 ARP 정보와 네트워크의 ARP 통신을 감시하여 시스템이 게이트웨이인 것처럼 위장하여 보낸 ARP 통신을 ARP 스푸핑으로 판단하여 처리합니다.
참고
ARP(Address Resolution Protocol)는 네트워크 프로토콜의 일종으로 주소 결정 프로토콜을 의미합니다. ARP 스푸핑은 해커가 자신의 시스템을 게이트웨이인것처럼 위장하기 위해 ARP를 조작하여 공격을 시도하는 해킹 유형입니다.
예외 목록: ARP 스푸핑 예외 목록을 추가할 수 있습니다. 예외 목록에 추가한 게이트웨이, IP 주소, MAC 에서 이상 패킷을 발생시키더라도 탐지하거나 차단하지 않습니다.