BGP up/down

2011년 선관위 사건으로 유명해진 용어 BGP up/down

라우터는 보통 30초 간격으로 상대방 라우터에게 KeepAlive메세지를 보낸다.

메세지를 받은 라우터가 announce 로 답하면 연결이 지속되지만, 상대 라우터에서 대답이 없다면 withdraw를 보내서 라우터 테이블을 다시 설정한다. (BGP down)

대답이 없더라도 KeepAlive 메시지는 주기적으로 보내고, 만약 상대 라우터가 announce해주면 다시 연결되어서 라우터 테이블이 재설정 된다. (BGP up)

상대 라우터가 대답이 없는데에는 여러 이유가 있을 수 있지만, 그중 라우터에 트래픽이 폭주되어 keepalive도 제대로 처리를 못하는 경우도 있다. 이러한 비정상적인 상태는 서버에 어마어마한 이용자가 몰렸거나 혹은 DoS공격을 판단하는 근거가 될 수도 있다. 즉,  withdraw메세지의 존재로 DoS를 판단할 수도 있다. 

시간에 따른 BGP withdraw 량

16시는 사전 공격이다. 22시 한국시간으로 아침7시부터 제대로 디도스 공격시작되었다. 근데 선관위에서 대역폭을 늘리지는 못할망정 KT회선을 끊어버렸다. 7:30분경 KT회선 잠깐 연결했는데 그래서 BGP withdraw가 감소했다기 보다는 traffic 처리 저시간동안은 잘해줬고 한다. 이후에 다시 KT회선 막은뒤로는 withdraw 다시 대량발생. 뭐이런 시나리오다.

    

network traffic

이건 인터넷에서 긁어온자료로 한국시간입니다.

BGP withdraw와 비교해보면 확실히 DoS공격인걸 알 수 있습니다. 유입트래픽이 최고치를 계속 찍고 있고, 중간 중간 트래픽이 확확 떨어지는 것을 볼 수 있는데 이는 BGP down이 발생한 것이다.