반응형
DDoS 공격이란?
공격자가 악성코드나 바이러스 등으로 다수의 좀비 pc를 얻은 후 이를 이용해서 다양한 방법으로 서버나 호스트를 동시에 공격하여 정상적인 트래픽을 방해하는 것입니다.
DDoS의 구성요소 및 공격 진행 과정
| 이름 | 역할 |
| 공격자(봇 마스터) | C&C에게 명령을 전달하는 해커 컴퓨터 |
| C&C(Command & Control) | 해커에게 명령을 수신하는 컴퓨터 |
| 핸들러 프로그램 | 마스터 시스템의 역할을 수행하는 프로그램 |
| Agent | 직접 공격을 가하는 시스템 (Zombie) |
| Demon program | Agent 시스템의 역할을 수행하는 프로그램 |
| Victim | 공격 대상이 되는 시스템 |
Agent 즉 Zombie pc 들의 모임을 봇넷이라고 합니다.
공격 진행 과정
- 봇넷이 구성되고 나면 공격자는 가각의 봇에게 원격으로 공격 명령을 지시
- 봇넷이 피해자의 서버나 네트워크를 공격 대상으로 삼고 IP 주소 요청을 보냄
- 잠재적 과부하를 일으켜 서비스 거부 상태로 빠지게 만듦
DDoS 공격 식별 방법
사이트 또는 서비스가 갑자기 느려지거나 사용이 제한되는 것을 확인할 수 있습니다. 하지만 정상적인 트래픽의 급증으로도 발생할 수 있고 다른 요인도 있어서 발생했을시 추가 조사가 필요합니다. 추가로 정상적인 트래픽과 공격 트래픽의 분리가 어렵기도 하다네요. 좀비 PC의 트래픽이 불법 트래픽은 아니기 때문이라고 합니다.
- 단일 IP 주소나 범위에서 나오는 대량의 트래픽
- 하나의 행동 프로필을 보이는 트래픽 플러딩
- 이유가 불명확한 요청의 급증
DDoS 공격유형
- Trinoo
- 공격자가 하나 혹은 그 이상의 마스터에 접속하여 여러 개의 데몬에게 특정 시스템을 일시에 공격
- 명령을 수신한 여려 개의 데몬들이 피해자에게 다양의 UDP 패킷을 전공
- TFN, TFN2K
- UDP/ICMP Traffic Flooding
- 송신IP 변조
- DNS Query Flooding
- TCP Traffic Flooding
- SYN Flooding
- TCP Flag Flooding : rst, urg ,psh 같은 flag bit 를 위조해서 서버가 검진하게 함 자원 소비로 이어짐
- IP Flooding
- LAND attack
- Tear drop
- HTTP 폭주
- GET Flooding
- GET Flooding cache control : 캐싱 서버의 취약점을 노린 공격
- 동적 HTTP Request Flooding
DDoS 대응방안 (확실한 대응책은 여전히 없음)
- 라우터 ACL을 이용한 필터링
- ingress 필터링 : 라우터가 지정한 주소의 패킷만 들어오게 하는것
- Egress 필터링 : 위조된 패킷이 인터넷으로 나가는 것을 막음
- CAR(Committed Access Rate) 기능 이용 : 일정시간동안 일정량 이상의 패킷이 들어오면 차단함
- 방화벽 이용 : 포트 필터링
- 시스템 패치, 핫픽스
- IDS
- 로드 밸런싱 : 트래픽을 분산해주어 서버에 안정성을 주는 기능
- 서비스별 대역폭 제한
반응형
'네트워크 > 네트워크 일반' 카테고리의 다른 글
| Port-security (0) | 2022.02.09 |
|---|---|
| VLAN (0) | 2022.02.03 |
| 라우팅 재분배 (0) | 2022.01.27 |
| 동적라우팅 EIGRP,OSPF (0) | 2022.01.26 |
| Metric (0) | 2022.01.26 |
