이상 트래픽 탐지 설정

악성코드에 감염된 호스트는 C&C 서버로 접속하여 제어를 받습니다. C&C 서버로부터 명령을 받으면 특정 사이트로 DDoS 트래픽을 전송하는 등 악의적인 행동을 수행합니다. C&C 서버와 호스트 간 트래픽 또는 감염 호스트에서 전송되는 DDoS 트래픽을 탐지하도록 설정할 수 있습니다. 이상트래픽이 탐지되면 ATA에서 해당 호스트에 대해 감염의심 파일 수집을 실행하여 악성코드 감염 여부를 확인하시기 바랍니다.

이상 트래픽 탐지 설정은 위협 탐지 > 이상 트래픽 탐지 >탐지 설정 화면에서 변경할 수 있습니다.

C&C 트래픽 탐지

C&C 트래픽 차단 또는 DNS 싱크홀 연결 기능을 통해 감염된 호스트가 C&C 서버의 지시를 받지 못하도록 차단하여 봇넷을 무력화할 수 있습니다. C&C 트래픽은 악성코드에 감염되어 좀비화된 PC를 제어하는 봇과 C&C(Command & Controll) 서버간 통신을 의미합니다. DNS 싱크홀 연결은 감염된 호스트에서 C&C 서버의 도메인 질의 시 C&C 서버의 IP 주소 대신 싱크홀 서버의 IP 주소로 응답하여 C&C 서버 접속을 차단하는 기능입니다.  

• C&C 트래픽 탐지: C&C 트래픽에 대한 탐지 기능 시작 또는 중지
• C&C 서버 접근 차단: C&C 서버로 등록된 IP 주소(또는 도메인 이름)로부터 발생한 트래픽 탐지 시 차단
• DNS 싱크홀 연결: DNS 싱크홀 연결 기능 시작 또는 중지
• DNS IP 주소: 호스트에서 DNS 질의를 요청했을 때 해당 도메인이 C&C 서버인지 판단해주는 DNS 서버의 IP 주소
• 싱크홀 IP 주소: DNS 질의가 C&C 서버일 때 이를 대체하여 호스트에게 DNS 응답을 보낼 IP 주소

DDoS 트래픽 탐지

DDoS 트래픽은 감염 호스트가 C&C 서버의 명령에 따라 특정 사이트를 공격하고자 발생시키는 트래픽을 의미합니다.

• DDoS 트래픽 탐지: DDoS 트래픽에 대한 탐지 기능 시작 또는 중지 

탐지 예외 사용

탐지 예외 대상으로 등록된 네트워크에 대한 이상 트래픽을 탐지하거나 탐지하지 않도록 설정합니다.  

• 탐지 예외 사용: 탐지 예외 시작 또는 중지

 

변경할 옵션을 모두 설정하고 확인을 누릅니다. 우측 상단의 변경 사항 적용을 눌러 시스템에 적용합니다.

설정값 입력범위

관련 예제

• 특정 IP에 대한 검사 예외

관련 항목

• 검사 대상 네트워크
• 탐지 예외
• 업데이트 설정
• ATA 연결
• TWC 연결