1. 명령제어와 좀비 PC를 통한 분산 서비스 거부 공격, DDoS(Distributed Denial of Service) 개요
-. DoS 공격을 행하기 위해 C&C(Command and control) 서버와 네트워크에 분산되어 있는 많은 에이전트(좀비 PC)를 점령하여 공격대상 호스트에 동시에 과도한 서비스 요청을 발생시키는 공격
-. DDoS의 특징: 은닉 분산 공격, 방어의 어려움, 랜섬 공격, 대량 좀비 PC, Agent 설치, 명령제어서버(C&C)
| 특징 | 설명 |
| 은닉분산공격 | 네트워크에 분산되어 분포하는 좀비인 에이전트를 이용하여 공격 일반 사용자의 컴퓨터에 은닉한 악성코드를 통해서 사용자가 인식하지 못하는 동안 공격 수행 |
| 방어의 어려움 | 네트워크에 분산되어 공격함으로써 모든 소스 차단 어려움 IP를 위조하거나 에이전트를 변경하여 공격함으로써 차단 어려움 |
| 랜섬 공격 | 공격자는 DDoS 공격을 통해서 피해자의 서비스를 마비시킨 후, 협박을 통해서 공격중단을 대가로 금전적인 보상을 요구함 |
| 대량 좀비 PC | 대량의 패킷을 발생키실 좀비 PC 필요, 공격전에 좀비 PC 확보 |
| Agent 설치 | 시스템의 네트워크/호스트 취약점을 이용하여 시스템 접근 후 공격용 AGENT 설치 |
| 명령제어서버(C&C) | 설치된 AGENT에 대한 공격명령 수행 및 제어 |
2. DDoS의 개념도 및 구성요소
가. DDoS의 개념도
-. 바이러스 악성 코드 전파를 위해서 악성코드를 특정 경유지 또는 파일에 감염/해킹하여 배포
-. 일반 사용자는 악성 코드 경유지에 방문 또는 악성코드 파일을 열어서 사용자 PC도 악성코드에 감염
-. 특정시간 공격자에 의한 DDoS 공격 수행 명령, 특정 사이트에 대한 대규모 공격 진행
나. DDoS의 구성요소
| 구분 | 구성요소 | 설명 |
| 공격 | 공격자 | DDoS 공격을 주도하는 공격자의 컴퓨터를 의미함 |
| 마스터 | 여러 대의 DDoS 에이전트의 연결을 관리하는 시스템 | |
| 피해 | 에이전트 | 일반 사용자의 컴퓨터에 은닉하며 마스터에 연결하여 관리되는 악성코드 마스터의 명령에 따라 공격대상에 직접적인 공격을 시도하는 코드 |
| 공격대상 | DDoS 공격의 대상이 되는 시스템 |
3. DDoS Agent 유포방식
| 구분 | 설명 |
| P2P | - 정상 소프트웨어에 악성코드 (에이전트)를 삽입하여 사용자 설치 유도 |
| 웜/바이러스 | - 웜/바이러스의 감염으로 인한 에이전트의 설치 |
| 사회공학 | - 이메일 등을 통해서 첨부파일 형태로 사용자에게 전달 후, 설치 유도 - 인간 상호 작용을 이용, 사람을 속여 보안 절차를 깨트리는 비기술적 침입 수단 |
| 홈페이지 | - 취약한 웹서버를 해킹한 후, 사용자 방문 시 악성코드의 자동 설치 |
4. DDoS의 공격 유형 및 공격 기술
가. DDoS의 공격 유형
| 항목 | PPS 증가 | 웹서비스 지연 | 대용량 트래픽 전송 |
| 사용 프로토콜 | - TCP | - HTTP | - UDP/ICMP |
| 공격사례 | - Syn flooding - TCP Connection flooding |
- HTTP flooding | - UDP flooding - ICMP flooding |
| 공격형태 | - 64byte이하 크기로 수십만~수백만 PPS발생 | - 동일 URL 접속 시도 | - 1000~1500byte 패킷으로 수십 Gbyte 트래픽 발생 |
| 공격영향 | - 네트워크 장비, 보안장비, 서버 등의 부하 발생 | - 웹서버 부하 발생 | - 회선 대역폭 고갈 |
| 피해범위 | - 공격 대상 시스템, 동일 네트워크의 모든 시스템 | - 공격 대상 웹서버 | - 동일 네트워크에 사용중인 모든 시스템 |
| IP Spoofing | - 변조/실제 IP | - 실제 IP | - 번조/실제 IP |
나. DDoS의 공격 기술
| 분류 | 공격기술 | 설명 |
| PPS 증가 |
- SYN flooding | - IP를 변조 후 다량의 SYN 패킷을 공격 대상 서버로 전송하여 공격받은 서버는 다수의 SYN RECEIVED 세션 상태 발생 - 서버의 CPU 및 Connection 자원의 고갈 유도 |
| - TCP Connection flooding | - 다량의 SYN 패킷을 공격 대상자 서버로 전송하고 공격 대상 서버에서 다수의 ESTABLISHED 세션 상태 발생 - 서버의 CPU 및 Connection 자원의 고갈 유도 |
|
| - TCP Out-of-State Packet flooding | - 다량의 ACK/SYN+ACK/FIN/RST 등의 패킷을 공격대상 서버로 전송 - 일부 네트워크 장비 및 서버의 CPU 부하발생 및 오작동 발생 |
|
| 웹서비스 지연 | - HTTP flooding | - 정상적인 HTTP GET 또는 POST를 이용하여 상품조화와 같은 반복적인 요청을 전송 - 웹서버 및 데이터베이스 서버의 CPU 및 Connection 자원고갈 |
| - CC Attack | - HTTP의 Cache control 메시지를 이용하여 Cache 서버를 거치지 않고 직접 웹서버에 HTTP 요청 - 직접적인 요청으로 인한 웹서버의 CPU 및 Connection 자원 고갈 |
|
| 대용량 트래픽 전송 | - UDP/ICMP flooding | - 1000~1500byte 정도의 큰 UDP/ICMP 패킷을 서버로 전송 - 공격대상 네트워크의 대역폭을 고갈시켜 서비스 마비 유도 |
5. DDoS 공격유형별 방어기술 및 모니터링 시스템
가. DDoS 공격유형별 방어기술
| 분류 | 방어기술 | 설명 |
| PPS 증가 |
- 비정상 IP 차단 | - RFC1918에서 지정한 비공인 IP 차단 - 멀티캐스팅, 사설IP 등 특정 목적을 가진 IP 차단 |
| - 공격 IP 차단 | - 공격 근원지 IP를 조사하여 IDC/ISP와 공조하여 트래픽의 Null routing(Ignored) 처리를 통한 공격 트래픽 차단 | |
| - Syn Proxy 사용 | - Syn Proxy/Cookie 기능을 제공하는 보안 장비 및 네트워크 장비를 이용하여 비정상적 TCP 패킷 차단 | |
| 웹서비스 지연 | - 서버 설정 변경 | - 취약한 네트워크 장비 및 서버에 대한 패치 |
| - 웹서버 증설 | - 서비스를 위한 웹서버의 추가를 통한 부하 분산 | |
| - 공격 IP 차단 | - 공격 근원지 IP에 대한 방화벽 또는 라우터에서 차단 | |
| 대용량 트래픽 전송 | - 불필요한 서비스 차단 | - 가능한 네트워크 최상단에서 불필요한 UDP 및 ICMP 서비스 차단 |
| - 공격 IP 차단 | - 공격 근원지 IP를 조사하여 IDC/ISP와 공조하여 트래픽의 Null routing처리를 통한 공격 트래픽 차단 | |
| - DNS 서버 다중화 | - 다중 DNS 서버를 운영하여 제 3의 등록기관에 DNS 등록 |
나. DDoS 모니터링 시스템
| 분류 | 모니터링 | 설명 |
| Netflow FlowScan | - IP 프로토콜 분포 모니터링 | - 공격징후 및 유형 파악을 목적으로 함 - L3스위치, 라우터에서 제공하는 모니터링 기능을 이용한 IP 프로토콜별 bps, fps, pps 모니터링 |
| - 서비스별 사용량 모니터링 | - 특정 서비스 사용량이 평소보다 급증하는 경우 확인 | |
| 모니터링 시스템 | - 네트워크 현황분석 | - 모니터링 시스템을 이용하여 프로토콜/서비스별 사용 현황 및 Frame size 등에 대한 상세한 모니터링 |
| - 임계치 설정 | - 프로토콜/서비스별/대역폭별/PPS별 사용량에 대한 임계치를 설정하여 임계치를 초과할 경우 경보 전송 | |
| - 응답지연시간 측정 | - 웹 서버 응답속도가 현저하게 증가하는 경우 탐지 | |
| - 패킷 분석 | - 캡처한 패킷을 통하여 패턴을 분석하고 생성된 패턴을 IPS, IDS에 적용하여 탐지 및 차단 |
'메가노트 > 토픽과제(정리)' 카테고리의 다른 글
| 디지털 포렌식(홍진택) (0) | 2022.10.01 |
|---|---|
| 웹 해킹(이상희) (0) | 2022.10.01 |
| APT(안혜진) (0) | 2022.10.01 |
| 블록 암호 모드(김도현) (0) | 2022.09.28 |
| NFT 특성과 마켓 플레이스 취약점(문경숙) (0) | 2022.09.24 |