ㅇ ㅂㅇ
DDoS 공격 원리 및 대처 방법
> DDoS(Distributed DoS) 공격
- 공격 시스템을 분산 배치(다수의 호스트)하여 동시에 하나의 공격 대상에게 대량 트래픽 전송하여 과부하를 발생시키는 공격(Zombie PC를 이용)
- DDoS 도구
-- Trinoo, TFN, Stacheldraht
- DDoS는 Attacker -> Masters -> Slaves -> Victim 으로 구성
>> DRDoS 는 Attacker -> Masters -> Reflectors -> Victim 으로 구성
- DDoS 공격 방법
-- Trinoo : UDP Floods 이용
-- TFN : UDP/SYS/ICMP Floods 등 이용
-- TFN2K : TFN에서 진화된 도구
-- Stacheldraht : UDP/SYS/ICMP Floods 등 이용, Trinoo나 TFN 보다 진화된 형태
- DoS(DDoS, DRDoS)공격 대응 방법
-- 입력 소스 필터링, 경계 라우터에서 불필요한 ICMP, UDP 트래픽 제한
-- 외부로 나가는 패킷(라우터의 Egress) 필터링
-- telnet, ftp, RPC 서비스 등은 외부에서의 사용을 제한
-- DoS(DDoS) 방지 전용 솔루션 도입, 긴급 DDoS 대피소 이용
> DRDoS(Distributed Reflection DoS ; 분산 반사 서비스 거부 공격)
- 공격 트래픽을 보내는 대상이 라우터나 웹 서버와 같은 제 3자(Third party ; Reflector)를 이용하여 출발지를 모르게 하는 공격
- DDoS 공격과 유사하지만 좀비 PC가 출발지 IP 주소를 공격지 IP로 변환 후 Reflector에게 트래픽을 보내 그 응답 트래픽을 이용해 공격을 함
> DNS Amplification Attack(DNS 증폭 공격)
- DNS Server(Reflector)를 이용한 DRDoS 공격
- 공격을 막기 위해서는 DNS Server에서 재귀 할 수 없도록 담당자가 설정 하는 것이 중요
> HTTP Continuation Attack
- IP Fragment Packet Flooding
- 서버로 전달하는 패킷에 HTTP Header 없이 Data 만 채워 웹 서버가 지속적으로 데이터 수신을 위해 TCP 자원을 사용하도록 하는 공격
> HTTP Traffic Flooding Attack
- GET Flooding
-- 동일한 URL을 반복 요청, 서버 자원을 사용하도록 하는 공격
- GET Flooding with Cache-Caontrol(CC Attack)
-- 캐싱 서버를 운영하여 많이 요청받는 데이터는 웹 서버가 아닌 캐싱 서버를 통해 응답하도록 구축하는 경우 이 때 웹 서버에서 직접 처리를 하도록 유도하여 자원을 소진시키는 공격
> HTTP Header/Option Spoofing Flooding Attack
- Slow HTTP POST DoS
-- 대량의 데이터를 장시간에 걸쳐 분할 전송하여 서버는 POST 데이터가 모두 수신하지 않았다고 판단하여 연결을 유지하고 이로 인해 원활한 서비스가 불가능 하게 됨
- Slow HTTP Header DoS
-- Slowloris는 HTTP 메시지의 헤더 부분을 비 정상적으로 조작하여 웹 서버에 보내면 헤더 정보를 모두 수신하지 못한 상태로 파악하여 연결을 장시간 유지하게 되고 이로 인해 원활한 서비스가 불가능하게 됨
- Slow HTTP Read DoS
-- 웹 서버와 TCP 연결 시 TCP 윈도우 크기 및 데이터 처리율을 감소시킨 후 HTTP 데이터를 송신하여 웹 서버가 정상적으로 응답하지 못하는 상태를 유발 시킴
> HashDoS Attack
- 조작된 매개 정보를 포함한 다량의 메지시를 해쉬테이블 검색을 위한 인덱스로 사용하여 해쉬 값에 충돌을 발생시켜 모든 해쉬 테이블을 검사하게 만듬 이로 인해 웹 서버의 CPU 자원을 소진시킴
> HULK(Http Unbearable Load King) DoS Attack
- 웹 서버의 가용량을 모두 사용하도록하여 정상적인 서비스가 불가능하도록 하는 GET Flooding 공격
댓글 없음:
댓글 쓰기