DoS/DDoS 학과 : 사이버경찰학과담당교수 : 안미정교수님학번 : 10111020 이름 : 정여진
목록 1. DoS/DDoS attack? 2. Dos와 DDoS의차이점 3. DoS공격으로의심할수있는증상 4. DoS 공격유형 5. DDoS 공격유형 6. 주요 DDoS 공격피해사례 7. DoS와 DDoS 공격에대한대응책 8. 알게된사실 9. 참고사이트
DoS/DDoS attack? 서비스거부공격 (DoS, DDoS) 은시스템을악의적으로공격해해당시스템의자원을부족하게하여원래의도된용도로사용하지못하게하는공격이다. 특정서버에게수많은접속시도를만들어다른이용자가정상적으로서비스이용을하지못하게하거나, 서버의 TCP 연결을바닥내는등의공격이이범위에포함된다. 수단, 동기, 표적은다양할수있지만, 보통인터넷사이트또는서비스의기능을일시적으로또는무기한으로방해또는중단을초래한다. 통상적으로 DoS는유명한사이트, 즉은행, 신용카드지불게이트웨이, 또는심지어루트네임서버를상대로이루어진다. 2002년 10월 22일과 2007년 2월6일의 DNS 루터서버에대한 DNS백복 DDoS공격은인터넷 URL 주소체계를무력화시켜인터넷전체에대한공격이었다. 쉽게말하면특정사이트의컴퓨터시스템에패킷을범람시켜시스템마비, 불능상태를만 든다. 사이트가공격을받게되면사용자는사이트에정상적으로접근은할수없게된다. Dos 와 DDoS 의차이점 Dos는공격자 PC에서희생자서버에게악의성패킷을보낸다. 그러면희생자는공격자의주소를확인하고차단하면공격자는더이상공격을하지못하게된다. 이를보완하기위해 DDoS공격기법이탄생되었다. DoS attack DoS공격에서진화된 DDoS공격은완벽한공격을위해좀비 PC를이용한다. 좀비 PC는공격자가공격대상에게완벽한공격을하기위해여러 PC들에게바이러스를침투시키고, 감염된 PC는원격조종을당해함께공격하는 PC이다. 그러면서버는하나의 PC가아닌여러대의 PC에서공격을당하기때문에이를모두차단하기가힘들다. DDoS attack
DoS 공격으로의심할수있는증상 비정상적인네트워크성능저하 특정웹사이트의접근불가 모든웹사이트에접근불가 특정전자우편의급속한증가 DoS 공격은공격을받고있는컴퓨터주위의다른컴퓨터에도문제를일으킬수있다. 예를들어인터넷과지역망을연결하는라우터의대역폭이공격으로소진되면전체네트워크에문제를일으킬수있다. 공격이충분히큰규모로이루어지면전체지역의인터넷접속이영향을받을수도있다. 서비스거부공격은라우터, 웹, 전자우편, DNS 서버등모든네트워크장비를대상으로이루어질수있다. DoS 공격은몇가지방법으로침투할수있다. 다섯가지기본공격유형은다음과같다. 전산자원을소진시킨다. 구성정보를교란한다. 상태정보를교란한다. 물리적전산망요소를교란한다. 원래사용자와희생물사이의통신매체를차단한다. DoS 공격에는다음과같은악성코드사용이포함될수있다. 프로세서를바쁘게하여아무일도못하게한다. 마이크로코드에오류를발생시킨다. 순차적명령어실행에오류를발생시켜서컴퓨터가불안정한상태에빠지게하거나멈추게한다. 운영체제의오류를이용하여전산자원을소진시키거나투입된더많은자원의효과를감소시킨다. 운영체제자체를깨뜨린다.
DoS 공격유형 1. Ping of Death " 죽음의핑날리기 " 라고도하는데 NetBIOS 해킹과함께시스템을파괴하는데가장흔하게사용되었던초기 DoS 공격방법이다. Ping을이용하여 ICMP 패킷을정상크기보다훨씬크게만들면네트워크를통해라이팅되어공격네트워크에도달하는동안아주작은조각이되는데공격대상시스템은이렇게작게조각화된패킷을모두처리해야하므로통상적으로정상적인 Ping보다훨씬많은부하가걸리게하여시스템을과부하시키는방법이다. 미사일중에발사하면공중에서 3번쯤몇개의조각들로나위어져지상으로광범위하게떨어지는것이있는데그런개념이라고생각하면된다. 현재는대부분의시스템에서 Ping of Death 공격이가해질때, 반복적으로들어오는일정수이상의 ICMP 패킷을무시하도록설정되어있다. 2. SYN Flooding 네트워크에서각서비스를제공하는시스템에는동시사용자수에대한제한이있다. 설정상의차이는있지만무제한은아니기때문에존재하지않는클라이언트가접속한것처럼속여서다른정상적인사용자가접속이불가능하게하는공격방법이다. 이런 SYN Flooding 공격을막는방법은보안패치로대기시간을줄이고 IDS를설치하는것이다. 일정시간내에동시접속자수를점유해야하므로짧은시간안에똑같은형태의패킷을보내기때문에쉽게인지가가능하고그에해당하는 IP주소대역을접속금지시키거나확인후방화벽또는라우터에서해당접속을금지시킴으로써시스템의서비스중지를막을수있다. 3. Boink, Bonk 및 Teardrop 프로토콜은목적의차이는있으나기본적으로데이터전송에있어신뢰성있는연결을제공하려하기때문에신뢰성이확인되지않는데이터전송에대하여반복적인재요구와수정을하게되는데 Boink, Bonk 및 Teardrop은모두공격대상이이런반복적인재요구와수정을계속하게하여시스템이자원을고갈시키는공격이다. 이공격으로최근에나온시스템을파괴시킬수있는경우는거의없다. 4. Land 패킷을전송할때출발지 IP와목적지 IP 주소값을공격대상의 IP 주소와똑같이만들어서공격대상에게보내는것이다. 이러한패킷은마치꼬리에묶여있는뼈다귀를쫓는강아지처럼뱅글뱅글돌기때문에시스템에과부하가걸려정상작동을못하게하는공격유형이다. 현재는출발지와목적지주소를확인하여동일한패킷은인식하고버리기때문에효과가없으며, 라우터나방화벽에서내부 IP주소와동일한출발지 IP주소를갖는패킷은처음부터차단하도록하는것이좋다. 5. Win Nuke(OOB, Out of Band) 윈도우를작동불능으로만들기위해많이쓰였던것으로일반적으로 Nuking 이라고하며,
윈도우의파란화면이아주쉽게뜨도록하는공격방법이다. 상대방시스템에 139번포트를스캔하여열려있는지확인하고, 패킷에 URG(Urgent) 를 On 상태 ( 송수신중간에발생할수있는비정상적인상태 ) 로하여패킷을전송하는데시스템상에서 <Ctrl + Break> 또는 <Ctrl + C> 키를누르는것과같은역할을해, 공격대상은수많은 Urgent 패킷을인식하고모든시스템의세션을닫은뒤재연결을요구하게되면서 CPU에과부하가걸리게하는공격방법이다. 윈도우 95나 98을사용하지않는이상걱정할필요없다. 방화벽에서 139번포트를막아두는것은보안상반드시필요하다. 6. Smurf와 Fraggle Ping of Death처럼 ICMP 패킷을이용한것으로공격자가위조된 IP로특정네트워크에거짓된패킷을보내고 ICMP Requset를받은네트워크는 ICMP Reauest 패킷의위조된시작 IP 주소로 ICMP Reply를보내게되어공격대상은수많은 ICMP Reply을받게되어시스템이과부하되는공격을말한다. Smurf는 DDoS의한방편으로이용되기도한다. 이공격을막는방법은 Direct 브로드캐스트를막는것이다. 7. Mail Bomb 메일서버는사용자에게일정한양의디스크공간을할당하는데, 메일이폭주하여남은용량이없으면, 정작받아야할메일을받을수없게된다. 이러한방법으로사용자간커뮤니케이션을방해하는공격방법이다. 특정한곳에서계속해서스팸메일이올경우메일서버로부터의 SNMP Relay 기능을정지시킴으로써예방할수있다. 8. 시스템자원고갈공격시스템자원고갈공격에는가용디스크자원의고갈, 가용메모리자원의고갈, 가용프로세스자원의고갈이있다. 이세공격모두공격자가시스템에침입한후아주간단한코딩의프로그램만으로시스템을작동불능상태로만들수있는데이러한공격은실제로일어나면막상공격의진상을인지하기가쉽지않다. 해커들은소스를컴파일하여 ' 해킹중 ' 이라고공언하듯뻔히알려주는이름을사용하지않고대부분백도어와같은프로그램들은쉽게인지할수없는이름으로만들어져있다. 해커가루트권한을얻지못하도록하는것이최선이며, 평소자신의시스템을체크하고 'Tripwire' 로무결성체크를하는것이좋다.
DDoS 공격유형 1. 악성 Bot을이용한공격 해커는다양한방법으로일반사용자 PC에봇을감염시키고, 봇에감염된 PC에공격명령을하달하여 DDoS 공격을수행하며, 주로금전을요구하는협박성 DDoS공격에서이공격방법을이용함 < Bot 을이용한 DDoS 공격의예 > 1 공격자 ( 해커 ) 가홈페이지등다양한방법으로봇을배포 2 악성코드가은닉된홈페이지방문등으로이용자 PC에봇이감염됨 3 공격자는봇에감염된 PC로 DDoS 공격명령을하달 4 악성코드에감염된 PC는특정사이트를공격
2. 선동적 DDoS 공격 다수가 DDoS 공격도구를동시에실행하여특정사이트로지속적인접속시도를함으로써해당사이트의정상적인서비스를방해하는공격으로주로국가사이버전또는정치적목적에사용됨 선동자는다수의네티즌이동참하도록공격의당위성과이로인한실리를주장하기도함 3. 신종악성코드를이용한공격 명령및제어서버의접속없이악성코드에감염된컴퓨터를실행하면자동으로특정한 사이트를공격하도록제작 유포되어서비스방해 < 신종악성코드에의한 DDoS 공격의예 > 1 공격자 ( 해커 ) 는신종악성코드를제작하여배포 2 홈페이지에은닉등다양한방법으로악성코드를이용자 PC에감염시킴 3 동시다발로악성코드가동작하여특정사이트를공격
주요 DDoS 공격피해사례 구분일시피해자세부내용비고 06.11 월 국내화상채팅업체 o 업체서비스중단 o ISP 백본, 국제회선부하증가 금품요구 07.10 월 게임아이템거래업체 o 홈페이지접속장애 ( 수 ~15Gbps 트래픽 ) 금품요구 08.2 월 O 게임 o 동남아쪽으로부터공격을받아사이트일시적폐쇄 국외 국내 국내 08.3 월 O 증권사이트 o 중국해커로부터협박성 DDoS 공격 o 해당사이트접속장애발생 금품요구 08.6 월국내 O 당홈페이지 o 홈페이지접속장애 08.7 월 국내포털사이트카페 o 카페에서탈퇴당한 10 대내국인이중국사이트에서공격툴을구입후보복공격 보복성 08.12 월 반크홈페이지공격 o 일본네티즌의공격홈페이지접속장애 국외 국내 09.3 월디카커뮤니티 O o 홈페이지접속장애금품요구 06.12 월 폴란드특정서버공격 o 전체 ISP 에걸쳐산발적으로발생하고, 국내인터넷에도지연현상발생 국내 국외 07.2 월 Root DNS 서버 o 13 개루트 DNS 중 6 개가공격받음 07.4 월 에스토니아정부, 의회등주요사이트 o 러시아해커에의해약 2 주간의공격으로피해사이트접속불능 국가사이버전 해외 07.9 월 전자지불홈페이지 www.e-gold.com( 미국 ) o Virut 바이러스감염 PC 가 C&C 로부터악성코드다운로드후공격 08.8 월 그루지아국방부, 외교부등주요정부사이트 o 러시아해커들에의해그루지아국방부, 외교부등주요사이트가공격을받음 국가사이버전 '09.1 월키르기즈스탄 ISP o 러시아해커에의해해당국의인터넷마비국가사이버전
DoS 와 DDoS 공격에대한대응책 1. 방화벽설치와운영방화벽은통상내부네트워크와외부네트워크의경계에우선적으로설치한다. 일부에선방화벽만있으면모든보안이다되는것으로착각하고있는데방화벽으로막을수있는건전체의 30% 정도밖에안된다. 단순히 1차적방어막이라고생각하길바란다. 2. 침입탐지시스템설치와운영침입탐지시스템은외부공격에대한일차적인차단이실패한경우네트워크에침입해들어온공격을탐지하기위한시스템으로 DoS와 DDoS공격이일정한패턴으로되어있고, 각구성요소간에도특정한형식의통신이지속적으로이루어지고있기때문에공격전이나공격시에그양상을탐지할수있으므로설치후업그레이드를꾸준히해야한다. 3. 안정적인네트워크의설계 일정량이상의패킷이라우터로들어올경우, 그이상의패킷은통과시키지않도록하거나 각장비간로드밸런싱을설정하는방법등이있다. 4. 홈페이지보안관리현재악성코드분포유형을보면인터넷을이용한웹페이지상의취약점때문에해킹당한사이트에서사용자들도모르게다운받는경우가제일많다. 홈페이지관리자들의경우편하다는이유로혹은귀찮다는이유로주민등록번호나주요사항을체크할때자바스크립트나 html소스를가지고하는경우가있는데이는매우취약한부분이며반드시시스템소스상에서설정해야한다. 또한관리의편의성을위해임의로보안을풀어놓는경우가있는데이또한바람직하지않으며관리자계정또한 ID와패스워드를분실혹은유추하지못하도록주기적으로변경해주어야한다. 5. 시스템패치시스템에대한지속적인서비스팩설치와팟픽스를하는것역시빼놓을수없다. 바이러스와악성코드의경우일단발견되면대책을세워패치를하게되는데제공되는패치를단지귀찮다는이유로사용자들이무시해버릴경우취약성을띈시스템을그대로유지하는것이기때문에반드시보안패치를하는것이좋다. 6. 스캔및서비스별대역폭제한지난번 7.7 DDoS공격으로전국민의보안의식이높아진가운데이를교훈으로삼아실무관리자뿐만아니라개개의사용자들까지도보안에조금만더신경써서이런일이다시는없어야겠다.
알게된사실 DoS는물론이고거기에서응용된 DDoS의공격이무엇인지거기에대한차이점에어떤것인지공부할수있는기회가되었고또한그에따른유형이라던지어떤공격이있는지터득할수있는기회가되었다. 더나아가다음프로젝트에는조금더심도깊은공부를통해 DoS/DDoS 공격에대한솔루션을개발해서나의능력을향상시켜야겠다.
참고사이트 www.kcc.go.kr http://ko.wikipedia.org/wiki/dos_%ea%b3%b5%ea%b2%a9#.ec.a6.9d.ec.83.81 http://lan2980.tistory.com/76