DDoS 공격기법, 기술 및 대응방법

1. 개요

2. DoS/DDoS

3. 개념도

4. 공격방법

5. DoS/DDoS 대책

6. DDoS 대응 발전 방향

1. 개요

 - 인터넷 사용이 급증하면서 일반 기업과 공공기관에도 인터넷을 이용한 각종 서비스를 제공하게 됨

 - 그러나 시스템의 안정도에 집중한 나머지 보안성을 강화하기 위한 투자가 상대적으로 적었음

 - 최근에 보안에 관한 중요성이 부각되면서 보안에 많은 투자가 이루어지고 있으나 해커들의 고도화된 방법에 쉽지만은 않은 상황임

 - DoS/DDos는 프로토콜의 설계상 취약점을 이용한 공격 해킹 방법임

 

2. DoS

 - DoS(Denial of Service) 공격은 다른 해킹에 비하여 비교적 간단

 - 해커들이 특정 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 것이 아니라 대량의 접속을 유발해 해당 컴퓨터를 마비시키는 수법, 이 수법은 목표 서버가 다른 정당한 신호를 받지 못하게 방해

 - 공격대상이 수용할 수 있는 능력 이상의 정보나 네트워크의 용량을 초과시켜 정상적으로 작동하지 못하게 함

  - 목적 사이트에 악의적인 대량의 패킷을 보내는 불법적인 행위로 자원을 고갈시켜 다른 합법적인 사용자의 이용 방해

 

3. DDos

 - DDoS(Distributed Denial of Service)

 - DoS 공격이 여러 곳에서 동시에 일어나게 하는 DoS 공격의 분산된 형태로 피해 양상이 상당히 심각하며, 이에 대한 확실한 대책 역시 없음

 - 또한 공격자의 위치와 구체적인 발원지를 파악하는 것 역시 거의 불가능에 가까움

 - DDoS 공격은 특성상 대부분의 공격이 자동화된 툴을 이용하고 있음

 - 공격의 범위가 방대함

 

4. 개념도

 - 공격자(Attacker): 공격을 주도하는 해커의 컴퓨터

 - 마스터(Master): 공격자에게서 직접 명령을 받는 시스템으로 여러 대의 에이전트를 관리하는 시스템

 - 에이전트(Agent): 공격대상에 직접적인 공격을 가하는 시스템

http://www.slashgear.com/whats-a-ddos-attack-zombies-shopping-help-explain-it-all-11333110/

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_74/dos_attacks.html

 

5. 공격방법

가. 대역폭 소진 공격

    - 다수의 PC를 이용하여 대량의 패킷을 전송 -> 네트워크 대역폭의 처리 한계를 초과

    - 이는 BPS(Bit Per Second)를 이용한 공격으로 주로 1Gbyte 이상의 급작스런 트래픽 증가가 발생

    - 이 공격의 경우 같은 네트워크에 있는 다른 업체의 서버에까지 접속장애가 유발되므로 파급효과가 큰 공격 유형

   1) UDP Flooding

     - 과도하 UDP Traffic 유발
     - 공격자가 victim A에게 source IP address를 victim B의 IP address로 spoofing하여 대량의 UDP 패킷을 전송하면 victim A와 victim B는 계속해서 서로 패킷을 주고 받게되어 두 시스템 사이의 네트워크에 과부하가 초래

 2) ICMP Flooding
    - 대표적인 공격: Smurf

    - 공격자가 source IP address를 victim의 IP address로 설정한 후, broadcast address로 ICMP echo request 패킷을 전송하면 그 하위 모든 시스템들이 ICMP echo reply 패킷을 victim으로 전송하게 되어 대량의 패킷들이 집중하여 네트워크 부하를 높이게 된다

 

 나. 자원고갈 공격

    - TCP를 이용하여 PPS(Packet Per Second)를 증가시킴으로써 네트워크 장비 또는 서버 장비의 CPU 부하를 유발시키는 PPS 소비(PPS Consuming) 유형

    - 이 경우 bps의 증가는 많지 않으나 pps의 급작스런 증가로 장비의 다운을 유발

SYN Flooding

    - SYN Flood는 TCP Connection 연결을 사용하는 모든 TCP 통신은 TCP Three-way Handshake 완료 후에 데이터를 전송할 수 있다는 원리를 이용

    - 서버는 SYN ACK 패킷을 보내고 대기 상태에 놓여있게 됨

    - 공격자는 ACK를 발송하지 않고 계속 새로운 연결 요청을 하게되어 서버는 자원할당을 해지하지 않고 자원만 소비

 

다. 애플리케이션 공격

   - 과다한 웹 접속을 통해 웹 서비스를 어렵게 하는 공격

   - 최근 많이 이루어지고 있는 Slowloris DDoS 공격은 세 가지 유형 가운데 웹서비스 지연(Http Flooding)에 해당

   - Slowloris라고 불리는 이유는 적은 양의 대역폭과 트래픽을 사용하기 때문

  1) HTTP GET Flooding

     - 과도한 Get 메시지를 이용하여 웹서버의 과부하를 유발시킴  

  2) HTTP CC Attack

     - Cache를 사용하지 않도록 하여 Get 메시지를 요청, 적은 트랙픽을 통해 웹서버에 과부하 유발

 

 

6. DoS/DDoS 대책

 가. 예방대책

http://i-bada.blogspot.kr/2012/09/ddos.html

<참조>

나. 탐지 및 대응 기술

    1) 호스트 기반 DDoS 공격발생 탐지 및 대응기술

         - 호스트 기반 이상 트래픽 탐지 및 차단

    2) 웹 서버 기반 DDoS 공격탐지 및 대응기술

         - 최근 웹서비스를 대상으로 하는 응용계층 기반의 DDoS 공격 증가

         - 응용 계층 DDoS 공격 방어 기술

    3) 광대역 네트워크 기반 DDoS 공격탐지 및 대응기술

         - 트래픽 패턴 분석

         - 악성 실행 코드 탐지/분석

         - 악성코드 감염 시스템 (Zombie Agent) 모니터링

    4) DDoS 공격 대응 공조 체계 구축 및 운영 

         - DDoS 공격 종합관제 기술 개발 

 

 

7. DDoS 대응 발전 방향

 

 

http://webs.co.kr/?document_srl=433

http://egloos.zum.com/totoriver/v/3386994

http://i-bada.blogspot.kr/2012_09_01_archive.html

http://wpkc.egloos.com/4436268

http://www.boannews.com/media/view.asp?idx=34586

DDoS 공격과 방어, 한국인터넷진흥원, 원유재(2009, 09, 14)