[Wiki] 서비스 거부 공격 - Ddos(디도스)

Distributed Denial of Service attack, DDoS

디도스란 분산 서비스 거부 공격(Distributed Denial of Service attack)이란 특정 서버(컴퓨터)나 네트워크 장비를 대상으로 많은 데이터를 발생시켜 장애를 일으키는 대표적인 서비스 거부 공격입니다.

 

서비스 거부 공격들 중 가장 광범위하게 쓰이는 사이버테러로 애용되는 공격 방식입니다.

미 컴퓨터 비상 대응 팀에서 정의한 DoS 공격으로 의심할 수 있는 증상은 다음과 같습니다.

 

• 비정상적인 네트워크 성능 저하
• 특정 또는 모든 웹사이트 접근 불가
• 특정 전자 우편의 급속한 증가

DoS 공격은 공격을 받고 있는 컴퓨터 주위의 다른 컴퓨터들에게도 문제를 일으킬 수 있습니다. 예를 들어서 

인터넷가 지역망을 연결하는 라우터의 대역폭이 공격으로 소진되면 전체 네트워크의 문제를 일으킬 수 있습니다.

 

이 공격자체에 규모가 더 커진다면 하나의 네트워크부터 전체 지역의 인터넷 망까지 영향을 받을 수 있습니다.

서비스 거부 공격(Ddos)은 라우터, 웹, 전자 우편, DNS 서버 등 모든 네트워크 장비를 대상으로 이루어질 수 있습니다.

 

DoS 공격은 몇가지 방법을 통해 내부 서버로 침투할 수 있습니다. 

• 전산 자원을 소진시킨다.
• 구성 정보를 교란한다.
• 상태 정보를 교란한다.
• 물리적 전산망 요소를 교란한다.
• 원래 사용자와 희생물 사이의 통신 매체를 차단한다.

DoS 공격에는 다음과 같은 악성 코드 사용이 포함될 수 있다.

• 프로세서 자체를 바쁘게 만들어 아무 작업도 못하게 한다.
• 마이크로코드에 오류를 발생시킨다.
• 순차적 명령어 실행에 오류를 발생시켜 컴퓨터가 불안정한 상태에 빠지게 하거나 멈추게 한다.
• 운영체제의 오류를 이용해 전산 자원을 소진시키거나 투입된 더 많은 자원의 효과를 감소시킨다.
• 운영체제 자체를 손상시킨다.

공격 방법

1.F5 연타

브라우저에서 특정 웹페이지를 열어놓고 F5키를 계속해서 연타하면 서버에 해당 웹 페이지 크기와 F5를 누른 횟수를 곱한 만큼의 트래픽을 주기 때문에 DDoS 공격에 해당됩니다. 물론 혼자서 한다면 여러 대의 컴퓨터라는 

정의에 맞지 않아 그저 단순한 DDoS 공격일 뿐이고, 조직적으로 특정한 시간대를 정해 다수의 인원이 동시에 

F5키를 연타해 트래픽을 흘려넣으면 그것을 바로 DDoS라고 부르는 것이 가능합니다.

 

한때 디시인 사이드에서 일어난 2010년 삼일절 사이버 전쟁에서 수천명이 Low Orbit lon Cannon이란 프로그램을 이용해서 연타를 가해 서버를 다운 시키는데 성공했습니다.

 

이 방법은 일반인들도 할 수 있는 쉬운 방식이지만, 만약 이런 행위가 서버에 로그로 남겨지게 되기 떄문에 적발시 철창행을 당할 수 있으니 이런 행위는 삼가해야 합니다.

 

2. 좀비 PC 이용

불특정 다수의 PC에 악성코드를 심어서 유사시에 공격 가능한 좀비PC로 만든 후에 공격에 동원되기도 합니다 

악성코드에 감염된 수많은 좀비PC가 공격자의 명령에 따라서 일제히 서버에 대량의 트래픽을 전송하는 방식으로

 

이루어지며, 서버가 허용하는 트래픽 용량을 넘어서게 되면 정상적인 클라이언트가 서버로 접속할 수 없게 됩니다.근래 들어서 수많은 컴퓨터가 좀비 PC가 되어 아예 맛이 가는 사례가 뉴스에 종종 보도되는 일도 많아 

 

보안에 주의해야합니다. 다만 좀비 PC가 맛이 가는 경우는 DDoS 공격 자체의 특성이 아닌 좀비 PC를 조종하는

공격자가 파괴 명령을 내린 것입니다. 그렇지 않다면 좀비 PC측의 피해는 컴퓨터가 느려지는 정도로 

 

그 외에는 좀비 PC에서 개인정보를 꺼내가기도 합니다.

 

3. tear drop

일명 눈물방울 공격이라 칭하는데, 이것은 내용물이 겹치거나 내용물의 크기가 과대한 망가진 IP 조각을 보냅니다.이로써 발생할 수 있는 문제는 운영체제 자체가 깨질 수 있는데,

 

그 이유는 TCP/IP 조각 재조립 코드의 문제가 있기 때문입니다. 윈도우 3.1x, 윈도우 95, 윈도우 NT 운영체제와 리눅스 2.0,32, 2.1, 63 이전 버전은 이 공격에 가장 취약한 환경에 놓여있습니다.

 

4. DDoS For Hire(웹 스트레서)

일정 금액을 지불하고 봇넷 혹은 대용량 대역폭 서버를 가진 업체의 DDoS-For-Hire 서비스를 이용하기도 합니다.

 

일반인이 접근할 수 있을정도의 간단한 웹 UI, UX를 가지고 있을 경우가 많아, 이 분야의 전문가가 아니더라도 

강력한 공격을 수행할 수 있도록 돕습니다.

 

대개 Layer 4 에서 5~80 Gbit/s의 공격을 지원하며, 일반적인 상황에서는 상상할 수 없을 정도의 큰 대역폭입니다.이 서비스는 적게는 월 5$ 부터, 많게는 1000$이상 까지의 가격이 형성되어 있고, 낮은 가격으로도 

충분한 공격을 수행할 수 있습니다. 이서비스를 제공하는 것 물론, 사용하는것까지 모두 불법입니다.

2018년 대형 웹 스트레서 제공자 일당이 체포된 바 있으며, 이를 이용한 사용자까지 추적중이라 합니다.

세계에서 가장 큰 디도스 마켓, 국제 공조로 폐쇄

 

대응 방법

1.공격에 대한 대책

DoS 공격이 시작되는 즉시 조치를 가해야합니다.

 

공격에 가장 쉽게 대처하는 방법은 물론 대안을 수립해 놓는 것인데, 핵심 서버들에 비상시의 IP를 준비하고 분산시켜 놓는 것이 매우 중요합니다.

 

공격이 일어났을때 우회할 수 있는 방법과 대체할 수 있는 시스템에 대해 투자하는 부분에서도 소홀해서는 안됩니다.

 

2. 라우터

스위치처럼 라우터에서도 트래픽 제한 방법을 제공합니다. 물론 이 방법은 수동으로 설정해야 합니다.

대부분의 라우터에서는 DoS 공격에 취약한데, DoS 공격이 일어나면

 

라우터에 트래픽 정책을 변경하여 DoS 공격자들을 제한한다면 수월하게 대처할 수 있습니다.

대부분의 네트워크 장비 회사들은  DoS 공격을 예방할 수 있는 최소한의 라우팅 설정에 대한 안내서를 제공합니다.

 

3.유해 사이트 차단

7·7 DDoS 공격, 3·3 DDoS 공격사건 모두 악성코드에 감염된 P2P와 웹하드에 접속한 PC에 좀비화를 발생시켰습니다. 

DDoS 공격을 초래하는 숙주 사이트인 P2P, 웹하드, 불법사이트등을 접근을 차단해 DDoS 공격을 근본적으로

차단해야 합니다. 

 

개인 PC일 경우 개인의 자유이므로 불법사이트 접근을 지향하는 것이 좋고, 내부에 개인정보, 기밀정보 등

주요 정보가 저장된 기업, 기관의 경우 자체적으로 DDos 숙주사이트, 악성코드 배포사이트,
불법 사이트 접근을 관리하는 것도 중요합니다.

 

참고 자료

https://namu.wiki/w/%EB%B6%84%EC%82%B0%20%EC%84%9C%EB%B9%84%EC%8A%A4%20%EA%B1%B0%EB%B6%80%20%EA%B3%B5%EA%B2%A9

서비스 거부 공격 - 위키백과, 우리 모두의 백과사전