DDoS 공격은 Distributed Denial of Service attack 공격의 줄임말입니다.
분산 서비스 거부 공격이라고 하죠
흔히 알고있는 DOS 와 다릅니다 디스크 운영체제의 DOS 는 전부 대문자로 보통 표기하지만
분산 서비스 거부 공격인 DDoS 는 일반적으로 o를 소문자로 표기하고 있습니다.
(DoS 비정상적인 패킷 전송 / DDoS 수많은 정상적인 패킷 전송)
DoS와 DDos모두 서비스 거부 공격은 대량의 접속을 유발해 목표 시스템을 마비시킨다.
DoS는 시스템이나 네트워크의 구조적 취약점을 공격하여 정상 서비스를 지연시키거나 마비시킨다.
DDoS는 수많은 DoS공격이 여러대의 PC에서 동시에 진행되어 서비스를 중단시키는 공격이다.
공격자가 좀비PC를 악성코드 등으로 감염시켜 그 좀비 pc 들에게 명령을 내려 공격 대상 공격하는 방식입니다
특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결 을 바닥 내는 등의 공격이 이 범위에 포함됩니다.
유명한 DDoS 사건으로
2009년 7.7일 일어났다고 해서 칠칠 디도스 사건이 있습니다
공격대상은 미국과 한국으로 정부기관, 금융회사, 인터넷 포털을 대상으로 공격을 당했습니다
종류
| 대역폭 소진 공격 | 서비스 마비공격 |
| UDP Flooding | HTTP Continuation |
| ICMP Flooding | HTTP GET Flooding |
| DNS Query Flooding | CC Attack |
| TCP SYN Flooding | RUDY |
| TCP Flag Flooding | Slowloris |
| TCP Session Flooding | Hash, Hulk DoS |
그 중 몇가지 알아보면
ICMP Flood
ICMP는 인터넷 제어 메시지 프로토콜(Internet Control Message Protocol)의 약자이다. 스머프 공격(Smurf attack)이라고도 부르는 이 공격은 공공 인터넷 상에서의 Flood DoS 공격의 한 변종이다. 네트워크 장치 설정이 잘못되었을 경우, 어떤 특정 전산망의 방송 주소로 전달된 패킷이 망 상의 어떤 특정 컴퓨터가 아니라 망의 모든 컴퓨터에 전달될 수 있다는 점을 이용한다. 전산망은 이 경우 스머프 증폭기의 역할을 한다. 이러한 공격에서 가해자는 대량의 IP 패킷을 보내면서 그 발신 주소를 표적 주소로 한다. 전산망의 대역폭이 신속히 소진되어 정상 패킷이 목적지에 도달하지 못하게 된다. 인터넷 상의 DoS 공격에 대항하기 위해 스머프 증폭기 등록처와 같은 서비스에서 이용될 소지가 있는 잘못 설정된 전산망을 기록, 대응할 수 있도록 하고 있다.
Ping Flood는 표적에 압도적인 수의 핑 패킷을 보낸다. 보통 유닉스 계열의 호스트에서 ping 명령을 이용한다. 표적 보다 더 큰 대역폭만 있으면 되기 때문에 쉬운 공격수단이다.
SYN Flood는 TCP/SYN 패킷의 Flood를 보내면서 대개 송신자 주소를 위조한다. (SYN은 SYnchronize Sequence Numbers의 약자로 TCP 패킷 머리 부분의 한 bit) 각각의 패킷은 접속 요청으로 취급된다. 서버는 한쪽만 열린 접속 부 프로세스를 만들고 TCP/SYN-ACK 패킷을 보낸 후 송신자 주소로부터의 패킷을 기다리게 된다. (ACK도 TCP 패킷 머리 부분의 한 bit) 그러나 송신자 주소가 위조된 것이므로 응답은 돌아오지 않는다. 이러한 한쪽만 열린 접속으로 서버에서 사용 가능한 접속의 수가 차면 공격이 지속되는 동안 정당한 요청에 답을 할 수 없게 된다.
Ping of Death (DoS 공격)
Ping을 이용하여 ICMP 패킷을 정상적인 크기보다 아주 크게 만들어 진 패킷 을 전송하면 네트워크를 통해 라우팅(Routing)되어 공격 네트워크에 도달하는 동안 아주 작은 조각(Fragment)이 되어 공격대상 시스템은 이렇게 작게 조각 화된 패킷을 모두 처리해야 하므로 정상적인 Ping의 경우보다 훨씬 많은 부하가 걸리게 되므로 시스템의 성능을 떨어뜨리는 공격이다.
대응 방안
리눅스 ICMP 응답하지 않기
리눅스 ping 응답하지 않기, 핑 응답 끄기
sysctl -w net, ipv4, icmp_echo_ignore_all=1
sysctl -w net, ipv4, icmp_echo_ignore_all=1-w 변수 값 설정
-n 특정 변수 값 출력
0이 Default 값
TearDrop 공격(Dos 정보보안기사기출)
눈물방울 공격은 내용물이 겹치거나, 내용물의 크기가 과대한 망가진 IP 조각을 보낸다. 이로 다양한 운영체제가 깨어질 수 있는데, 까닭은 TCP/IP 조각 재조립 코드에 버그가 있기 때문이다. 윈도 3.1x, 윈도 95, 윈도 NT 운영체제와 리눅스 2.0.32, 2.1.63 이전 버전은 이 공격에 취약하다.
DDoS
분산 서비스 거부 공격(Distributed DoS, DDoS, 디도스)은 다수의 시스템을 통해 공격을 시도하며 다양한 방법을 통해 동시에 공격하기도 한다.
종류는 TRINOO, TFN, Stacheldraht 이런게 있으니
정보보안기사 준비 하시는 분이라면 외워두시는게 좋습니다
악성코드나 바이러스 등의 악의적인 프로그램들을 통해서 일반 사용자의 PC를 감염시켜 좀비PC로 만든 다음 C&C 서버를 통해 DDoS 공격이 수행된다. (가장 유명한 예는 MyDoom 공격이다.) DDoS 공격은 악의적인 프로그램에서 정한 특정 시간대에 시작된다. 대표적 피해사례로 2009년 7월 7일에 있었던 DDoS 공격이 있다.
DRDoS
분산 반사 서비스 거부 공격(Distributed Reflect DoS, DRDoS)은 DDoS가 한 단계 더 진화한 형태의 공격 방식이다.
IP 주소를 스푸핑한 ICMP Echo request 패킷을 브로드캐스트 주소로 보내 공격 대상에게 수많은 Echo reply 패킷을 전송함으로써 다운시키거나(Smurf 공격), TCP/IP 네트워크의 취약점을 이용하여 공격 대상에게 SYN/ACK 홍수를 일으켜 대상을 다운시키는 공격 방법이 대표적이다.
공격에 대한 대책
DoS 공격이 시작되면 즉시 조치를 시작해야 한다.
공격에 가장 쉽게 대처하는 방법은 물론 대안을 수립해 놓는 것이다. 핵심 서버들에 비상시의 IP를 준비하고 분산시켜 놓는 것이 매우 중요하다. 공격이 일어났을 때 우회할 수 있는 방법과 대체할 수 있는 시스템에 대해 투자하는 것에도 소홀해서는 안 된다.
라우터
스위치처럼 라우터도 트래픽 제한 방법을 제공한다. 물론 수동으로 설정하여야 한다. 대부분의 라우터는 DoS 공격에 취약하다. DoS 공격이 일어나면 라우터에 트래픽 정책을 변경하여 DoS 공격자들을 제한한다면 수월하게 대처할 수 있다. 대부분의 네트워크 장비 회사들은 DoS 공격을 예방할 수 있는 최소한의 라우팅 설정에 대한 안내서를 제공한다.
유해사이트 차단
7.7 DDos, 3.3 DDos 사건 모두 악성코드에 감염된 P2P와 웹하드에 접속한 PC가 좀비화 되어 발생했다. DDos 공격을 초래하는 숙주사이트인 P2P, 웹하드, 불법사이트 접근을 차단해 DDos 공격을 근본적으로 차단해야 한다. 개인PC의 경우 개인의 자유이므로 불법사이트 접근을 지양하는 것이 좋으며, 내부에 개인정보, 기밀정보 등 주요정보가 저장된 기업, 기관의 경우 자체적으로 DDos 숙주사이트, 악성코드배포사이트, 불법사이트 접근을 관리하는 것이 중요하다.