DDoS, 공격 유형과 대응방안

DDoS 공격이란?

공격자가 악성코드나 바이러스 등으로 다수의 좀비 pc를 얻은 후 이를 이용해서 다양한 방법으로 서버나 호스트를 동시에 공격하여 정상적인 트래픽을 방해하는 것입니다. 

DDoS 공격 구상도 

DDoS의 구성요소 및 공격 진행 과정 

이름	역할
공격자(봇 마스터)	C&C에게 명령을 전달하는 해커 컴퓨터
C&C(Command & Control)	해커에게 명령을 수신하는 컴퓨터
핸들러 프로그램	마스터 시스템의 역할을 수행하는 프로그램
Agent	직접 공격을 가하는 시스템 (Zombie)
Demon program	Agent 시스템의 역할을 수행하는 프로그램
Victim	공격 대상이 되는 시스템

Agent 즉 Zombie pc 들의 모임을 봇넷이라고 합니다. 

공격 진행 과정

1. 봇넷이 구성되고 나면 공격자는 가각의 봇에게 원격으로 공격 명령을 지시
2. 봇넷이 피해자의 서버나 네트워크를 공격 대상으로 삼고 IP 주소 요청을 보냄 
3. 잠재적 과부하를 일으켜 서비스 거부 상태로 빠지게 만듦

DDoS 공격 식별 방법

사이트 또는 서비스가 갑자기 느려지거나 사용이 제한되는 것을 확인할 수 있습니다. 하지만 정상적인 트래픽의 급증으로도 발생할 수 있고 다른 요인도 있어서 발생했을시 추가 조사가 필요합니다. 추가로 정상적인 트래픽과 공격 트래픽의 분리가 어렵기도 하다네요. 좀비 PC의 트래픽이 불법 트래픽은 아니기 때문이라고 합니다. 

• 단일 IP 주소나 범위에서 나오는 대량의 트래픽
• 하나의 행동 프로필을 보이는 트래픽 플러딩
• 이유가 불명확한 요청의 급증

DDoS 공격유형 

• Trinoo
  
  • 공격자가 하나 혹은 그 이상의 마스터에 접속하여 여러 개의 데몬에게 특정 시스템을 일시에 공격
  • 명령을 수신한 여려 개의 데몬들이 피해자에게 다양의 UDP 패킷을 전공 
• TFN, TFN2K
• UDP/ICMP Traffic Flooding 
• 송신IP 변조 
• DNS Query Flooding 
• TCP Traffic Flooding
• SYN Flooding
• TCP Flag Flooding : rst, urg ,psh 같은 flag bit 를 위조해서 서버가 검진하게 함 자원 소비로 이어짐
• IP Flooding 
  • LAND attack
  • Tear drop   
• HTTP 폭주 
  • GET Flooding
  • GET Flooding cache control : 캐싱 서버의 취약점을 노린 공격 
  • 동적 HTTP Request Flooding
•  

DDoS 대응방안  (확실한 대응책은 여전히 없음)

1. 라우터 ACL을 이용한 필터링 
   1. ingress 필터링 : 라우터가 지정한 주소의 패킷만 들어오게 하는것 
   2. Egress 필터링 : 위조된 패킷이 인터넷으로 나가는 것을 막음
2. CAR(Committed Access Rate) 기능 이용 : 일정시간동안 일정량 이상의 패킷이 들어오면 차단함 
3. 방화벽 이용 : 포트 필터링
4. 시스템 패치, 핫픽스 
5. IDS
6. 로드 밸런싱 : 트래픽을 분산해주어 서버에 안정성을 주는 기능 
7. 서비스별 대역폭 제한