| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- 쉘코드
- WPA-PSK
- wep
- 2021-3156
- 이커시
- DDos
- NAND
- Slim3
- airodump-ng
- 초시대
- 무선랜
- DOS
- aireplay-ng
- 디도스
- NOR
- WPA3
- E14-20T6S04X00
- WLAN
- 보안이 미래다
- shellcode
- aircrack-ng
- 5G
- 듀얼부팅
- airmon-ng
- WPA1
- cmd
- 윈도우
- 반사서버
- sudo
- 디스크
- Today
- Total
대학생들을 위한 IT
DDos(2) 본문
2. DDos (Distributed Dos)
-
여러 대의 컴퓨터를 일제히 동작시켜 특정 사이트/시스템을 공격하여 엄청난 분량의 패킷을 동시에 범람시킴으로써네트워크 성능 저하나 시스템 마비를 가져오게 하는 해킹 방법.
-
구성요소
| 구성 요소 | 설명 |
| 공격사(Attacker) | 공격을 주도하는 해커의 주 컴퓨터 |
| 마스터(Master) | 공격자에게 직접 명령을 받은 시스템, 여러 대의 슬레이브를 관리하는 시스템 |
| 슬레이브(Slave) / 좀비(Zombie) | 공격 대상에 직접적인 공격을 가하는 시스템, 악성코드에 감염된 시스템 |
| 표적/희생자(Victim) | 공격 대상 시스템 |
-
공격 사례
1) 트리누(Trinoo)
통합된 UDP flood dos 유발하는 데 사용되는 도구
2) TFN
UDP Flood + TCP SYN Flood + ICMP Echo + SMURF
3) Stacheldraht
트리누 + TFN
4) TFN2K
TFN 발전, 특정 포트 사용 X
-
DDos 공격 유형 분류
| 문자값 | 대역폭 소진공격 | 어플리케이션 마비공격 |
| 대표 공격유형 | UDP/ICMP Flooding, SYN Flooding | HTTP GET Flooding |
| 공격형태 | 1. UDP/ICMP Traffic Flooding 2. TCP Traffic Flooding 3. IP Flooing |
1. HTTP Traffic Flooding 2. HTTP Header/Option Spoofing 3. TCP Traffic Flooding 4. Other L7 Service Flooding |
| 프로토콜 | 3 ~ 4 계층 | 7계층 |
| 공격대상 | 네트워크 인프라 | 웹서버, 정보보호 장비 등 |
| Spoofing 여부 | O / X | X |
| 증상 | 회선대역폭 고갈 동일 네트워크 사용 서비스에 접속 장애 발생 |
서비스 부하로 인한 장애발생 공격대상 시스템만 피해 |
1) UDP/ICMP Traffic Flooding
(1) UDP/ICMP Flooding ; UDP/ICMP 비연결 지향 프로토콜, 소스 IP 변조
(2) DNS Query Flooding ; DNS 서비스 방해
2) TCP Traffic Flooding
(1) SYN Flooding ; 서버 대기큐 채움 -> 클라이언트 연결 요청 무시
(2) TCP Flag Flooding ; Flag 값 임의 조작-> 서버 자원 소진
(3) TCP Session ; 3 way-handshake 과정 과도하게 유발 -> 과부하
3) IP Flooding
(1) LAND ; LAND Attack
(2) Teardrop ; IP 데이터그램 조작 및 순서 뒤바뀐 채로 전송 -> 재조립 불가
(3) HTTP Continuation ; 패킷에 Header 없이 Data만 채움 -> TCP, 네트워크 자원 소모
4) HTTP Traffic Flooding
(1) GET Flooding ; 동일한 URL 반복 요청에 대한 회신하기 위한 자원 사용
(2) GET Flooding withe Cache-Control ; 캐싱서버 기능 무력화, 웹서버 자원 소모 유도
5) HTTP Header/Option Spoofing Flooding
| 종류 | 공격 원리 |
| Slow HTTP POST Dos | HTTP POST 이용하여 서버로 대량의 데이터를 장시간에 걸쳐 분할 전송 -> 서버는 데이터가 모두 수신하지 않았다고 판단하여 연결 장시간 유지 |
| Slow HTTP Header Dos (Slowloris) |
헤더부분으로 수신할 데이터 종류 판단하는데, 헤더부분을 비정상적으로 조작 -> 서버는 헤더정보가 모두 수신되지 않았다고 판단하여 연결 장시간 유지 |
| Slow HTTP Read Dos | 공격자와 웹서버 TCP 연결 시, TCP 윈도우 크기 및 데이터 처리율 감소 -> HTTP 데이터 송신하여 웹서버가 정상적으로 응답하지 못하도록 Dos |
6) 기타 서비스 마비 공격
(1) 해시 도스 (HashDos)
웹서버는 클라이언트로부터 전달받는 HTTP 메시지의 파라미터 값을 관리하기 위해 해시 테이블 사용
조작된 파라미터를 포함한 다량의 메시지는 해시값에 충돌 발생, 정확한 값을 찾기 위해 해시테이블 검사
이때, 웹서버 CPU 자원 소진
(2) 헐크 도스 (HulkDos)
웹서버의 가용량을 모두 사용하도록 하는 Get Flooding 공격
공격 대상 주소를 지속적 변경 -> DDos 차단 정책 우회
-
대응 방안
| 유형 | 설명 |
| 라우터 ACL 이용 | Access Control List |
| 라우터 Ingress 필터링 | 지정한 IP 패킷만 라우터 통과 |
| 라우터 Egress 필터링 | 위조된 패킷 나가는 것 방지 |
| 라우터 약속된 접급비율 기능 | 일정량 이상의 패킷은 통과하지 않도록 하는 기능(CAR, Committed Access Rate) 이용 |
| 방화벽 | 포트 필터링 |
| 시스템 패치 핫픽스 | 취약점/버그 이용하는 악성코드 및 침입 방지 |
| 안정적 네트워크 설계 | 취약점 존재하지 않도록, 단일실패지점(SPoE) 존재하지 않도록 설계 |
| IDS | Intrusion Detection System |
| 로드 밸런싱 | 대용량 트래픽 분산처리 가능, 네트워크 대역폭 및 성능 강화 |
| 서비스 별 대역폭 제한 | 대역폭 제한으로 공격에 따른 서비스 피해 최소화 |
| DPI | 시그니처 검사 문제점 해결하기 위해 네트워크 전체 계층 패킷 확인, 내부 콘텐츠까지 검사 |
DRDos(Distributed Reflection Dos)
-
공격 원리
-
TCP 3 way-handshake를 이용하는 DDos.
-
공격자는 출발지 IP를 공격 대상의 IP로 위조하여 SYN 패킷을 다수의 반사 서버로 전송하여 공격 대상이 이 장비들이 응답하는 syn-ack 패킷을 받아 서비스가 거부 상태가 됨
(echo request와 response를 이용하여도 가능)
-
-
DDos 와 차이점
-
공격 근원지 파악 어려움, 역추적 거의 불가능
-
좀비 PC의 공격 트래픽 효율 증가, DDos 공격에 비해 적은 좀비 PC로 공격 트래픽량 증가
-
-
대응 방법
-
네트워크 대응 : 위조된 IP 패킷이 인입되지 않도록 ISP가 직접 차단(Ingress Filtering)
-
반사 서버 대응 : icmp 프로토콜을 사용할 필요가 없는 시스템인 경우 해당 프로토콜 차단
-
공격 대상 대응 : icmp 프로토콜을 사용할 필요가 없는 시스템인 경우 해당 프로토콜 차단
-
