5. 바이러스 - 다양한방법으로네트워크전반에걸쳐자신을복제하는컴퓨터바이러스로특정시스템을상대로하지않지만, 그중불운한시스템이피해를볼수있다. 6. 물리적기반공격 - 누군가광케이블을훼손하는것이다. 재빨리트래픽을다른쪽으로우회시켜처리할수있다. DoS 공격특징 1 루트권한을획득하는공

Transcription

1 <DOS> DoS 공격이란? - DoS는 Denial of Service( 서비스거부 ) 의약자. - 시스템을악의적으로공격해해당시스템의자원을부족하게하여원래의도된용도로사용하지못하게하는공격이다. - 특정서버에게수많은접속시도를만들어다른이용자가정상적으로서비스이용을하지못하게하거나, 서버의 TCP 연결을바닥내는등의공격이이범위에포함된다. - 수단, 동기, 표적은다양할수있지만, 보통인터넷사이트또는서비스의기능을일시적또는무기한으로방해또는중단을초래한다. [ 그림 1] Dos 공격구조 DoS 공격의종류 1. 버퍼오버플로우공격 - 프로그래머가예측하여설계했던것보다더많은양의트래픽을보내는방식이다. 2. SYN 공격 - 네트웍상의 TCP 클라이언트와서버사이에세션이개시될때. 핸드셰이킹을신속히처리하기위해서메시지교환순서를인식하기위한 SYN 필드가포함된다. - SYN 공격은다수의공격자가접속요청을빠르게보낸다음상대방에게응답하지않고침묵함으로써다른필요한접속요구들을방해하는방식이다. 3. 눈물방울공격 - 라우터에서처리하기에너무큰패킷을 IP가여러조각으로분리한다는점을악용하여, 공격자는조각난 IP 조각에엉뚱한오프셋을집어넣어순서를혼란시킨다. 4. 스머프공격 - 공격자는수신측사이트로 IP 핑요청을보내고이패킷은근거리망의다른호스트들에게로보내진다. 이때패킷은자신이아닌다른사이트로부터온것처럼위장함으로써표적이된다른사이트가 DoS를겪게된다.

2 5. 바이러스 - 다양한방법으로네트워크전반에걸쳐자신을복제하는컴퓨터바이러스로특정시스템을상대로하지않지만, 그중불운한시스템이피해를볼수있다. 6. 물리적기반공격 - 누군가광케이블을훼손하는것이다. 재빨리트래픽을다른쪽으로우회시켜처리할수있다. DoS 공격특징 1 루트권한을획득하는공격이아니다. 2 데이터를파괴하거나, 변조하거나, 훔쳐가는것을목적으로하는공격이아니다. 3 공격의원인이나공격자를추적하기힘들다. 4 공격시이를해결하기힘들다. 5 매우다양한공격방법들이가능하다. 6 공격의결과는공격당한시스템의구현과매우밀접한관계를가지기때문에결과또한서로다른시스템에따라다른결과를발생시킬수있다. 7 다른공격을위한사전공격으로이용될수있다. 8 사용자의실수로발생할수도있다. DoS 공격예방방법 1. SYN Flooding 공격에대한대책 1 queue를늘려주는방법 2 패킷필터링 3 방화벽의설치 2. TCP 순서번호공격에대한대책 1 라우터나방화벽으로패킷필터링 2 보안패치 3 주소로인증하는것을차단 4 올바른구성및운영 3. ICMP 보안대책 1 각사용자들에대해서 quota를할당 2 다른프로세스종료후처리프로세스할당 3 프로세스종료, 시스템종료 4. IP 스푸핑공격에대한대책 1 라우터로패킷필터링 2 무작위의순서번호생성 3 암호화된순서번호 4 로깅 (logging) 과경고기능 (altering) 을강화하여비정상적인패킷을발생시키는지감시

3 Dos공격해보기 ( 실습환경 => 운영체제 : Linux, 사용한프로그램 : hping3, Wireshark) 1. hping3프로그램 (.tar.gz) 을다운받아알집을푼다. 2. 터미널창에서 hang3에어떤명령어가있는지확인하기위해 help를사용한다. 3. 알아낸옵션을이용하여공격대상서버로패킷전송 4. 와이어샤크프로그램을이용하여확인 - 잘보이지는않지만 Source( 파란색체크박스 ) 에서 Destination( 빨간색체크박스 ) 로 같은크기의패킷이계속날아온것을확인할수있다. (DoS 실습도움 3 학년오창석 )

4 Dos 공격 (SYN_Flooding) 확인방법 [ 그림2]Dos공격확인법 1. cmd창에들어간다. (window키 + R 또는시작-> 모든프로그램-> 보조프로그램-> 명령프롬프트 ) 2. netstat -n -p tcp를입력한다. ( 파란텍스트박스참고 ) - netstat명령어는네트워크포트상태를확인함으로써바이러스나해킹여부진단가능 1 [-n] 옵션 : 현재다른PC와연결되어있는포트번호확인 2 [-p proto] 옵션 : 입력한프로토콜만확인 3. 명령어를치고난뒤나오는상태를보면알수있다. ( 주황색텍스트박스참고 ) - 상태에 SYN_RECEIVED 라는글이있으면 SYN_Flooding공격이일어난것을알수있다. DoS 공격의사례 1. 스마트TV도해킹취약점발견 도스 (DoS) 공격으로재부팅 - 스마트TV에서도해킹가능성이현실화되고있다. 25일업계에따르면벨기에보안전문가말릭메셀렘은인터넷접속이가능한삼성스마트TV 최신펌웨어에서취약점을발견했다고밝혔다. 공격자는이취약점으로서비스거부 (DoS) 공격이가능한것으로나타났다. 도스공격은시스템을마비시키는해킹기술이다. 메셀렘은삼성전자 PDP TV(PS50C7700) 의 IP 주소로패킷 ( 데이터 ) 을전송했다. 그결과 TV가재부팅되는이상증상이나타났다... [ 이티뉴스윤건일기자 ]

5 2. 해커공격? 중국주요사이트 25일온종일마비 - 25일중국에서주요인터넷사이트의접속이느려지거나안되는현상이장시간이어졌다. 해커공격이원인으로추정되고있다. 중국관영매체중신사 ( 中新社 ) 는이날중국인터넷정보센터 (CNNIC) 를인용, 서비스거부공격 (DoS) 으로.cn 을도메인으로사용하는인터넷사이트의접속이안되는현상이발생했다고전했다... [ 국민일보쿠키뉴스김현섭기자 ] 3. 원주경찰서게임서버를 DoS 공격으로마비시킨피의자검거 - 원주경찰서 ( 서장이용완 ) 는 5월 6일자신이운영하고있는게임서버에사용자들이줄자상대편게임서버를 DoS 공격으로마비시킨게임서버운영자 00중학교 2학년에재학중인김00(13세 ) 를정보통신망이용촉진및정보보호등에관한법률위반으로검거하여수사중에있다. 김00군은 2012년 1월경부터온라인게임 산안드레스 게임서버를운영하면서평상시 100여명이접속하여게임을하였으나인터넷에서같은유형의게임서버를운영하는사람들이늘어접속자들이현저히줄자, 게임서버운영자들의 IP주소, 포트번호를확인한후, 2012년 4월경부터 2013년 3월경까지약 1년간피의자와같은유형의게임서버를운영하고있는운영자의게임서버 300여대에해킹프로그램을이용하여 300여회에걸쳐서비스거부공격 (DoS) 공격으로게임서버를마비시킨혐의이다... [ 뉴스타운김종선기자 ]

6 <DDOS> DDoS 공격이란? - Distributed DoS( 분산서비스거부 ) 의약자 - 여러대의공격자를분산적으로배치해동시에서비스거부공격을하는방법이다. - 이는 IAB의정당한인터넷사용정책에반하는것으로여겨지며거의모든인터넷서비스공급자의허용할수있는사용정책도위반한다. [ 그림 3]DDos 공격구조

7 DDoS 공격유형 ( 공격형태에따른분류 ) 공격분류특징공격유형 공격 공격 공격 혼합형공격 혼합형공격 공격 공격 공격 공격 과다 공격 특성을이용 개수이상을초과시킴 의 마비 공격 공격 공격 공격 공격 공격 공격 공격등 공격 DDoS공격유형 ( 자원고갈대상에따른분류 ) 구분공격유형 레이어 플러딩 플러딩 대역폭 세션 플러딩고갈형공격 레이어 어택 플러딩 플러딩 레이어 서버자원 레이어 플러딩 플루딩 고갈형공격캐시컨트롤공격

8 DDoS 공격탐지방법 탐지도구 방법 세부설명설치장소비고 특정 를등록하여탐지 안에포함된트래픽중평시와다른특이사항 공격 트래픽분석 백본트렁크 국내 국제 등 대부분 가운영중 대응시스템 기반으로고속으로 공격을탐지하고차단 공격발생시트래픽을우회시켜공격트래픽을제거하고정상트래픽전송 코어라우터 라우터사이등 제품등 트랙픽패턴분석및불규칙적트래픽을우회시켜공격트래픽을제거하고정상트래픽전송 분석용서버를백본네트워크에연결 라우터의과부하발생으로대용량장비에만사용가능 라우터에서 를이용하여실시간 만확인가능 백본 라우터자체기능 라우터과부하주의필요 서버에서라우터를대상으로 으로수집한 데이터를분석 트래픽급증 급감여부를보고징후판단 변화만확인가능 서버를백본네트워크에연결 는모든 가운용중 서버 서버로들어오는 패킷을분석하여과도한 패킷을탐지 서버에저장되는 를실시간으로콘솔에서모니터링 서울및주요대도시네트워크에 캐싱서버설치운영 스위치 수임계치를미리설정해놓고임계치를초과하는 가발생시 함 예 평시 일때이를초과하면 하도록설정 서버 등에설치운영 을표시해주는기능없음

9 DDoS 공격차단방법 구분목적차단방법비고 차단 과도한 패킷발생에의한 기능마비방지 특정 로발생되는 패킷차단 싱코홀 캐싱서버에서차단하고자하는특정 에대해 선언을하거나 임의의서버 를설정 해당사업자에할당되지않는 에서 를받을시차단하도록캐싱서버에차단설정 스푸핑등차단효과 스위치 앞단에서특정 에대한 패킷을차단설정 서버에필터링적용시에는용량대비부하를고려필요 차단 공격 를차단하여네트워크보호 처리 네트워크에서차단하고자하는 를 라우팅으로처리하여차단 차단불가 등록된 는 라는가상인터페이스로패킷을포워딩하여 시킨다 처리 별로차단이가능 처리는부하를많이주고 라우터별로최대처리용량이제한되어있어소극적사용을권장 라우터나가입자접속용라우터에 를적용하여차단 특정패턴 예 등 의 를제한하여차단효과발휘 라우터에부하를주고 공격발생시실시간대응에는단점이있음 특정사이즈별로패킷을 처리 로차단 예 차단적용등 차단은 및 별 별 등으로만처리가능 차단 공격하는특정포트 프로토콜등을차단하여네트워크보호 스위치 포트 프로토콜별및 패턴등을설정하여차단 처리 방화벽 라우터등에서포트 프로토콜등을 로설정하여차단 스위치는 등에제한적으로설치운용하고있음

10 DDoS 공격의사례 1. 호기심에선관위 DDoS공격고교생검거 - 포털실시간검색어때문에중앙선거관리위원회홈페이지를분산서비스거부 (DDoS) 공격한철없는고교생이 29일주요통신기반시설침해행위등의금지위반혐의로불구속입건됐다. 경찰청사이터테러대응센터는고교생이모 (17) 군이지난 1월8일부터오후 3시39분부터 9일오후 7시2분까지좀비PC 7대를동원해 DDoS공격을했지만미수에그쳤다고밝혔다... [ 지디넷코리아김희연기자 ] 2. 청부형 DDoS 공격급증 - 중국해커를이용한청부형 DDoS 공격이빠르게늘고있다. 청부형 DDoS 공격은중국 DDoS 전문업체에공격을의뢰, 목표웹사이트에 DDoS 공격을감행하는방식이다. 특정업체로부터사주를받는다는점과극단적목적을달성할때까지지속된다는점에서기존 DDoS 공격과구분된다. 한국인터넷진흥원 ( 이하 KISA) 은청부형 DDoS 공격으로추정되는중국발 DDoS 공격사례가급증하고있는것으로분석했다. KISA 관계자는 기존 DDoS 공격은 3~4차례공격을감행한후사이트에서돈을받는등목적을달성하면공격을중단했다 며 청부형 DDoS 공격은의뢰자의목적을이룰때까지지속적으로공격을감행하는등장시간에걸친사이버전투의양상을띤다 고설명했다... [ 이티뉴스장윤정기자 ] 3. 주요인터넷서비스제공자대상 DDoS 공격발생! DDoS 대란의 HTTP 공격방어와더불어대규모대역폭공격에대한방어준비가요구되고있다. 천안함사건과지방선거의여파로사회가불안함에따라대규모사이버공격에대한우려가나타나고있는가운데국내주요인터넷서비스제공사들을대상으로한대규모 DDoS 공격이나타났다. 지난 5월 31일저녁 9시 30분부터두시간가량 KT와 SK브로드밴드, 통합LG텔레콤등에동시에 DDoS 공격이나타난것. 다행히큰피해없이공격이지나갔지만이번공격을계기로대역폭공격에대한준비가요구되고있다... [ 보안뉴스김태형기자 ]

11 <DoS 공격과 DDoS 공격의차이점 > - 서비스거부공격 (DoS) 과분산서비스거부공격 (DDoS) 의차이는직접공격을행하느냐공격을하도록지시하느냐의차이입니다. - DOS공격은자신이직접공격을행하는것이고 DDOS공격은해커가감염시킨 PC또는서버여러대에공격을하게하도록지시하는것입니다.

12 < 개인정보처리기간 > 제2조 ( 개인정보의처리및보유기간 ) 1. 국가법령정보센터는법령에따른개인정보보유 이용기간또는정보주체로부터개인정보를수집시에동의받은개인정보보유 이용기간내에서개인정보를처리 보유합니다. 2. 각각의개인정보처리및보유기간은다음과같습니다. 1. 회원가입및관리 : 공공기관홈페이지탈퇴시까지다만, 다음의사유에해당하는경우에는해당사유종료시까지 1. 관계법령위반에따른수사 조사등이진행중인경우에는해당수사 조사종료시까지 2. < 예외사유 > 시에는 < 보유기간 > 까지 2. 민원사무처리 : 민원처리종료후 3년 3. 정보통신망이용촉진및정보보호등에관한법률 시행령제29조에따른본인확인정보보관 : 게시판에정보게시가종료된후 6개월 과제후느낀점 - 이번과제를통해 DoS와 DDoS에대해좀더자세히공부를할수있었고, 프로그래밍을열심히잘하는것물론중요하지만지금나와있는해킹들이어떻게이루어지는지알아내고향후내가만든프로그램이네트워크관련프로그램이라면그프로그램이어떤문제가있는지파악해서보안하는것도중요하다는것을알게되었다. 그리고 DoS 모의해킹을할때실습환경이부족하여보안트랙의힘을빌렸다. DDoS공격은직접해보지못해아쉬웠다. - 개인정보를사용할때 ( 주로회원관리 ) 언제까지회원정보를가지고있어야되는지도알게되었다.

13 참고사이트 <DoS> %B6%80_%EA%B3%B5%EA%B2%A <DDos> <netstat> <Dos와 DDoS 관련뉴스 > nv < 개인정보파기 >