> For the complete documentation index, see [llms.txt](https://docs.plura.io/ko/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.plura.io/ko/v6/fn/comm/filter/security/threshold.md).

# 크리덴셜스터핑

{% hint style="info" %}
**크리덴셜 스터핑 탐지**

* **크리덴셜 스터핑 공격**은 전체 공격 중 약 80%를 차지합니다.
* **공격자 정보를 상관 분석하여 탐지 및 차단**:
  * 요청 헤더 정보와 본문의 ID 값
  * 서버 응답 상태 값 및 응답 크기
* **PLURA의 세계 특허 기술 적용**
  {% endhint %}

크리덴셜 스터핑 필터는 유출된 계정정보를 대량 자동 시도하는 공격을 식별·관리하기 위한 웹방화벽의 전용 필터입니다.&#x20;

임계치(Threshold)·세션행위(Session-pattern)·브루트포스 성격의 탐지·차단 동작을 필터 단위로 등록하여 탐지 결과를 목록에서 모니터링하고, 필요 시 차단 및 로그 연계를 통해 심층 분석합니다

<figure><img src="/files/TgNdRbLhi6iks8PiTaE9" alt=""><figcaption></figcaption></figure>

### 1. 정보 입력 <a href="#id-1" id="id-1"></a>

* **유형**&#x20;
  * 필터 동작으로 차단(탐지 시 동시 차단) 또는 단순 탐지(로그만 수집) 선택이 가능합니다.
* **분류**
  * 고정, 가변 중 선택
* **필터명**, **도메인,** **경로**, **메소드**, **로그인 속성**, **시간대**, **동작**, **로그인 성공/실패**, **상태값**, **응답 크기**
  * **도메인/경로**: 적용 대상 도메인 및 URI(정규식 허용) 지정
  * **메소드**: POST, GET 중 선택
  * **로그인 속성**: name 입력
  * **응답 크기**: 상태값과 함께 응답 크기 조건 표기

### 2. 탐지 조건 설정 <a href="#id-2" id="id-2"></a>

* **시도 횟수**, **조건**, **사용 ID 수**&#x20;
  * **시도 횟수**: 설정한 값에 도달 시 탐지 발생

### 운영 권장사항 <a href="#id-3" id="id-3"></a>

* 초기 운영 시엔 탐지 모드(로그 수집) 로 충분히 관측한 뒤, 오탐이 낮게 확인되면 차단 규칙을 순차 적용하세요.  &#x20;차단은 서비스 영향도가 있으므로 점진적 적용 권장입니다.
* 상관분석(웹로그 ↔ 시스로그) 저장쿼리·템플릿을 함께 준비하면, 탐지 시 연계 조사 속도가 빨라집니다.

### 참고 사이트 <a href="#id-4" id="id-4"></a>

▶ 크리덴셜 스터핑이란?&#x20;

> <https://owasp.org/www-community/attacks/Credential_stuffing>

크리덴셜 스터핑 필터는지속적인 로그인 시도를 통해 계정 탈취를 시도하는 공격을 탐지하는 보안 필터입니다.

▶ 볼륨 메트릭이란?&#x20;

> <https://www.a10networks.com/blog/understanding-ddos-attacks/>

볼륨 메트릭 필터는 대량의 무차별 대입 공격을 탐지하는 필터로, 계정 탈취 방어에 사용됩니다.<br>

### 📖 PLURA-Blog

* [크리덴셜 스터핑 공격 대응하기](https://blog.plura.io/ko/respond/credential-stuffing-countermeasures/)
* [GS리테일·GS홈쇼핑 크리덴셜 스터핑 공격 사례](https://blog.plura.io/ko/threats/case-gs_credential_stuffing/)
