| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- Ransomware
- malware
- error fix
- h5py.File
- commandline
- MySQL
- x64
- pytest
- data distribution
- open office xml
- debugging
- Analysis
- TensorFlow
- ecma
- Python
- why error
- Rat
- error
- svn update
- javascript
- NumPy Unicode Error
- 포인터 매핑
- hex-rays
- idapython
- idapro
- Injection
- ida pro
- mock.patch
- idb2pat
- ida
- Today
- Total
13 Security Lab
DR-DOS 개요 본문
drdos[eng].pdf
개요
2002년 1월 미국에서 DRDoS 가 처음 발견되었다. 이 공격의 대상인 된 깁슨리서치는 DDoS 공격과는 달리 정상적으로 동작하고 있는 베리오(Verio.net) , 퀘스트(Qwest.net) , 어보브 (Above.net)의 라우터와 야후의 웹 서버들로부터 공격을 당했다. DDoS 공격이 여러 서버에 설치된 특정 에이전트에 의해 공격이 진행되는 반면 DRDoS 공격은 정상적인 서비스를 운영하고 있는 서버를 에이전트로 활용하기 때문에 해커들이 손쉽게 이용할 수 있다. 또한 공격의 근원지를 추적하기 어렵고 공격을 막을 수 있는 방법이 그리 용이하지 않다.
1. DRDoS의 정의
DDoS 공격보다 한단계 지능적이고 치명적인 공격 기법으로 Network 취약성을 악용하는 것에 기반을 둔다. 일반적으로 많은 양의 봇을 생성하여 공격하는 DDoS 공격과는 달리 별다른 봇이 필요가 없으며 Smurf 공격과 유사하게 Source IP를 공격대상(Victim) IP로 Spoofing하여 실제 서비스 중인 서버와 일반 HOST에게 SYN 패킷을 전송 하여 이 응답(SYN+ACK) 패킷을 Spoofing된 공격대상 IP로 전달 되도록 하여 서비스거부를 발생 시키는 공격이다.
2. 대표적 공격 루틴
- 해커가 Target을 선정 후 Source IP를 Target IP로 Spoofing 한다.
- Spoofing된 패킷을 정상 서비스 중인 서버나 개인 HOST에 서비스 요청 또는 패킷을 전송 한다.
- 웹 서비스를 요청 또는 패킷을 받은 서버, 라우터 등은 Spoofing된 Source IP로 SYN+ACK를 보낸다.
- Source IP로 Spoofing 된 Target 서버는 많은 양의 응답(SYN+ACK) 패킷을 받게 되어 서비스 거부가 발생 된다.
3. 취약점
- TCP 취약점 : 3-Way handshake기법상 취약점 이용
- BGP(Border Gateway Protocol) 취약점 : 인접 라우터의 라우터 테이블의 정보 교환상 취약성
4. 위험성
- 패킷경로확산(Packet path diffusion)
그림에서 정상적인 반사서버의 추가는 공격의 형태를 변화시키는 것을 보여준다. 악의적인 SYN 패킷은 공격하는 서버에서 떠나자마자 즉시 흩어지게 된다. 직접 타겟으로 향하는 것이 아니라 대신 넓게 퍼진 TCP 반사서버로 보내지게 되고 이 서버들은 인터넷 곳곳에 흩어져 있다. 공격지로부터 단지 몇 경로 홉수를 제외하고는 하나의 경로가 아니라 여러 이웃 라우터로 패킷이 산개되기 때문에 대량의 패킷 흐름을 인식할 수 없을 것이다. 타겟서버는 수많은 정상적인 TCP 서버의 SYN/ACK 패킷으로부터 공격을 당하게 된다. 각각의 SYN/ACK 패킷 흐름 자체만으로는 타겟에 피해를 주지 않지만 인터넷 도처에서 도착하는 SYN/ACK 패킷의 집중인 공격으로 타겟 시스템이 충분히 다운될 수 있다. 즉, 잠재하는 수많은 서버로부터 원치 않는 공격에 직면한 타겟서버나 네트워크는 심각한 문제에 빠지게 된다.
5. 방어 및 대처방법
- 클라이언트 보호(Protecting a client)
어떤 TCP 서비스도 제공하지 않는 종단사용자(end user) 같은 경우, 막을 수 없다. 대부분의 클라이언트는 인터넷의 원격서버(무의식적으로 클라이언트를 공격하고 있을지도 모르는 서버)에 연결하기 위해 시간을 다 소비하게 되고 대부분 서버의 서비스포트(low-numbered service ports) 에 접근을 요청하게 된다.결과적으로 프락시나 IS P NAT을 이용하여 종단사용자를 보호할 수 있다.
- 반사서버 악용 막기
반사공격의 실정을 이해하고 있는 관리자는 자신의 서버가 반사공격에 악용되고 있다는 것을 알 수도 있다. 또한, 자신의 서버가 반사공격에 악용되는 것을 막을 방법에 대해 궁금해할 것이다.
이 방법은 이론적으로는 간단하다. 이것을 하기 위해서는 절대 연결을 완료할 수 없는 근원지 IP를 가지고 있는 SYN 패킷을 인식해야 한다. 짧은 시간에 일어나는 연결 실패는 일상적인 현상이 아니기 때문에, 반사공격의 타겟이 정해졌을 수도 있다. 반사공격의 동적인 방어(Dynamic reflection attack prevention)는 연결을 완료할 수 없는 IP로부터 도착하는 SYN 패킷에 대한 블랙리스트를 작성하는 것이다.
반사서버 악용 방어 시스템은 서버에 있는 방화벽에 쉽게 구축할 수 있다. 그러나, 인터넷상의 모든 서버에 이런 방화벽이 설치되어 있을 수는 없다. 위장패킷을 네트워크 Egress filtering 을 할 수 있도록 IS P 업체에 요청을 하는 것이 좀 더 현실적인 방법이다.
- ISP 책임
반사공격에 이용되는 트래픽 생성은 근원지 IP 위조에 달려 있다. ISP 업체가 그들의 통제하에 있는 네트워크로 유입되는 위조된 패킷을 차단할 수 있다면 이 공격은 막을 수 있을것이다. 악의의 해커들이 Egress filtering 된 ISP 네트워크에서는 그들의 공격방법이 제 역할을 하지 못할 것이기 때문에 ISP는 그들의 고객을 위한 보안을 향상시킬 수 있다.
