DDoS(Distribution Denial of Service)

DDoS(Distribution DoS)

   • 분산 서비스 거부 공격

   • DoS 공격의 발전 형태

   • 공격 시스템을 여러 대로 분산 배치하여 대량의 트래픽으로 공격 대상의 서비스를 마비시키는 공격

      ⸰ 악성코드 등을 이용하여 Zombie PC를 획득하여 C&C 서버를 통해 공격 명령

   • 기본 공격 형태: [공격자(1) > Zombie PC(n)] : 공격대상(1)

   • 공격 방식

      ⸰ 물리적인 파괴

      ⸰ 시스템 리소스 공격: CPU, Memory, Disk 등

      ⸰ 네트워크 대역폭 공격: 대역폭 고갈

   • 공격 발전 형태

      ⸰ 초기: 다수의 공격자가 지속적인 재요청을 발생시켜서 일반 사용자의 서비스 방해

      ⸰ 중기: 다수의 공격자가 DoS 공격을 직접 수행하여 대량의 트래픽을 발생시켜 공격

      ⸰ 현재: Bot에 감염된 Zombie PC로 이루어진 Botnet을 이용하여 공격

   • Botnet 구성요소

      ⸰ Attacker(=Bot Header)

            ‣ DDoS 공격을 수행하는 실제 공격자

      ⸰ Master(=C&C Server)

            ‣ Attacker의 명령을 연결된 Agent에게 전달하는 시스템 or 프로그램

            ‣ Handler 프로그램

      ⸰ Agent(=Zombie PC)

            ‣ Attacker가 유포한 Bot(악성코드)에 감염된 시스템

            ‣ 공격자에게 제어권을 빼앗김

            ‣ Master에게 명령을 전달받거나 Bot Header가 지정한 시점에 직접적인 공격 수행

            ‣ Daemon 프로그램

   • 공격 유형

      ⸰ 네트워크 대역폭 소모

            ‣ 다수의 Zombie PC를 통해 대량의 패킷을 전송하여 네트워크 대역폭의 처리 한계 초과

            ‣ 종류: UDP Flooding, ICMP Flooding

      ⸰ 시스템 자원 고갈

            ‣ 시스템에서 서비스를 지원하는 리소스를 소모시켜 정상 서비스 문제 유발

            ‣ 종류: TCP SYN Flooding, TCP Connection

      ⸰ 어플리케이션 취약점 공격

            ‣ 특정 서버 프로그램에서 나타나는 취약점을 이용하여 정상 서비스 방해

            ‣ 종류: HTTP GET Flooding, HTTP CC Attack, Slowloris(HTTP GET based) Attack, RUDY(HTTP POST based) Attack 등

   • 대역폭 소모 공격: UDP Flooding, ICMP Flooding

   • 시스템 자원 고갈: TCP SYN Flooding, TCP Connection Flooding

   • 어플리케이션 취약점 공격

      ⸰ HTTP GET Flooding

            ‣ 공격자가 동일한 URL을 반복요청하여 웹 서버 부하 유발

      ⸰ HTTP CC Attack(=GET Flooding with Cache-Control Attack)

            ‣ HTTP Request의 Cache-Control 메시지 헤더 조작으로 Cache 서비스가 가능한 자원도 웹 서버가 직접 처리하도록 유도

            ‣ Caching 기능을 무력화시켜 웹 서버의 부하 유발

            ‣ 유도 방법

               - Cache-Control: no-store; must-revalidate

               - no-store: 클라이언트에게 요청받은 데이터를 Disk, Memory, 별도의 저장장치(Cache Server)에 저장 금지

               - must-revalidate: Caching Server에 저장된 Cache에 대한 검증요구 메시지

            ‣ 공격대상: Caching Server를 운영하는 웹사이트

      ⸰ Slow HTTP POST DoS

            ‣ POST 요청으로 전달하는 많은 양의 데이터를 장시간에 걸쳐 분할 전송

            ‣ 서버가 POST 요청을 모두 전달 받을 때까지 연결을 유지하면서 자원 소모

      ⸰ Slow HTTP Header DoS(=Sloworis)

            ‣ HTTP Request Header의 마지막(Blank)을 설정하지 않은 조작된 요청 전달

            ‣ 서버는 클라이언트의 요청이 모두 수신되지 않았다고 판단 후 수신될 때까지 유지하면서 자원 소모

      ⸰ Slow HTTP read DoS

            ‣ TCP의 전송 가능한 버퍼사이즈(Window Size) 조작으로 데이터 처리율 감소

            ‣ 이후 HTTP 메시지를 전송으로 정상 응답을 하지못하도록 유도

      ⸰ Hulk(HTTP Unbearable Load King) DoS Attack

            ‣ GET Flooding과 비슷한 유형의 공격

            ‣ 동일 URL의 반복적인 요청 차단 우회를 위해 URL의 Parameter를 변경하여 반복 요청

   • DDoS 공격 확산 원인

      ⸰ 공격자의 Business Model 변화

            ‣ 금전적 이득을 노림

            ‣ 보안이 향상된 시스템을 기술적으로 어렵게 해킹할 필요 X

      ⸰ 네트워크 인프라 발달

            ‣ 급격한 네트워크 서비스의 발전으로 Gbps/Tbps에 달하는 공격 가능

            ‣ Zombie PC를 많이 보유할수록 강한 공격 가능

      ⸰ 사용자의 부주의한 PC 관리

            ‣ 개인 PC의 등장과 비전문가에 의한 관리

            ‣ 개인 사용자의 부주의한 PC관리로 인해 Bot에 감염된 Zombie PC 확산 증가

   • DDoS 공격 대응

      ⸰ 충분한 Bandwidth 확보

            ‣ DDoS 공격 대응이 가능하도록 서비스를 위한 평균 트래픽보다 많은 양의 처리가 가능한 회선 보유 필요

      ⸰ 공격 트래픽 모니터링

            ‣ 실시간 모니터링을 통해 정상 트래픽 양을 측정하여 공격에 의해 급격히 발생하는 트래픽 감지 필요

      ⸰ 공격대응 전문기관과의 연계

            ‣ 공격 감지 시 전문 대응기관에 바로 알려 유입 경로 차단

            ‣ 관리자의 신속 대응 필요

            ‣ ISP, IDC 등에 요청하여 공격 트래픽 유입 경로 차단

               - 유입경로 및 공격 성향 파악을 위해 공격 발생 시 log 정보를 수사기관에 제공

      ⸰ DDoS 솔루션 장비 도입

            ‣ Anti DDoS, L7 Switch 장비 배치를 통한 대비 필요

      ⸰ 대응프로세스 준비

            ‣ 공격 감지 시 대응절차 사전 계획 필요