DRDOS 분산 반사 서비스 거부 공격
요약:
DRDOS(Distributed Reflect Dos)는 DDOS의 진화된 형태의 공격 방식입니다.
공격자는 공격대상의 IP로 스푸핑을 한후 다양한 방법으로 TCP 혹은 로컬 UDP 서버에 요청을 보넵니다.
요청을 받은 정상적인 서버들은 응답을 공격대상의 IP로 응답요청을 하게 됩니다.
하지만 요청을 보넨적이 없는 공격대상은 응답을 하지 않기 때문에 오류검증 및 다양한 이유로 다시 재요청을
하게 되거나 한번에 큰 트래픽을 발송합니다. 이런 트래픽이 누적됨에 따라 대상을 다운시키는 공격입니다.
명세:
분산서비스거부공격(DDOS)는 해가 갈수록 증가하고 있으며, 공격량 또한 기하급수적으로 중가하고 있습니다.
이 DDOS는 공격전 봇넷구축(웜바이러스 전파)과 공격지 자동 생성과 시간설정, 백신업체의 공격까지 철저한 설계로
이루어져 공격대상의 네트워크 대역폭 점거와 시스템 리소스 소멸 등을 통하여 대대적인 DDOS 공격을 수행하고 있습니다.
DDOS 만으로도 상당히 위협적인 사이버 테러 전략이지만,
(DDOS 그림)
최근 미국의 네트워크 보안회사인 클라우드플레어(CloudFlare)와 아버네트웍스(Abornetworks)등에 따르면 지난 2월초
유럽 전반에 걸쳐 최대 400Gbps 규모로 감행된 DDOS 공격이 이른바 분산 반사 서비스 거부 공격이라는 DDOS의 진화된
공격의 일종으로 밝혀 졌습니다.
(DRDOS 통계)
DRDOS 공격은 봇넷 구축 없이 통신 프로토콜 구조의 취약성을 이용하여 정상적인 서비스를 운영하고 있는
시스템을 이용하여 공격을 하기에, 공격은 상대적으로 해커들이 사용하기 쉽고 공격을 당한 사이트의 복구는
어려운 것으로 알려져 있습니다.
DRDOS는 UDP를 이용한 공격과 TCP를 이용한 공격으로 나누어 지는데,
UDP인 경우 UDP프로토콜을 사용하는 DNS, NTP, SNMP, CHARGEN 서비스 등의 구조적 틍성을 이용하여
크게 반사(Reflection)와 증폭(Amplification) 공격형태로 나눕니다.
UDP 프로토콜을 이용한 공격은 정보 제공과 같은 요청을 하여 공격자가 보넨 트래픽 양보다
배가 되는 양의 응답이 오는 방식입니다.
| 서비스 | 공격 내용 |
| DNS | DNS 질의 시(타입: ANY,TXT등)과 같이 많은 양의 레코드 정보 제공을 요구하여 공격대상자에게 대량 트래픽 유발 |
| NTP | NTP 서버에 최근 접속한 NTP서버 목록을 요청(monlist)하여 공격대상자에게 대량 트래픽 유발 |
| SNMP | SNMP Agent에 MIB과 같은 정보를 대량 요청(GetBulkRequest)하여 공격대상자에게 대량 트래픽 유발 |
| CHARGEN | CHARGEN 서버에 접속시 대량의 문자열(abcd...)을 전송을 유도하여 공격 대상자에게 대량 트래픽 유발 |
(UDP DRDOS)
국내의 경우 증폭 공격에 의해 발생된 공식적인 DRDOS공격사례는 아직 1건 밖에 없는걸로 알고 있으며,
아직 한국에서는 공격사례가 몇 없으며 외국에서는 상당히 큰 폭으로 DRDOS공격이 증가하고 있다고 합니다.
UDP외에 또한 TCP프로토콜을 사용하는 FTP, SSH, SMTP, HTTP 서비스 등을 이용하여 SYN과 ASK/SYN 공격형태로도 나눕니다.
(TCP DRDOS)
TCP프로토콜을 이용한 공격은 3Way Handshake 기법의 취약점을 이용한 공격으로
해커가 공격대상의 IP로 스푸핑을 한후, 정상적인 TCP 서버로 Syn패킷을 보네면
서버들은 SYN/ASK 응답을 하게 됩니다. 응답후 다시 ACK 패킷오 오지 않으면 TCP특성상
복수의 SYN/ASK 패킷을 날릴수 있기 때문에 해커의 노력에 비해 상대적으로 큰 효과의 공격을
할수 있게됩니다.
DRDOS는 봇넷이 필요없는 공격 기법이며 출발지 IP를 변조시키며 정상적인 프로토콜 요청을 통한 공격이기에
잡기가 힘들며, 공격받는 입장에서는 비슷한 다운 증상으로 DDOS와 구별도 힘듭니다. 따라서 사전에 공격에대한 준비와
ISP업체와 함께 출발지 IP의 변조를 검출하며 다양한 Anti DDOS플랜을 가진 서버를 구축을 해야합니다.
기타:
-DRDOS 트래픽은 최고 400Gbps
DDOS 트래픽은 최고 80Gbps로 조사되었습니다.(2015년기준)
-Smurf 공격과 상당히 유사합니다.
-한국인터넷진흥원(KISA)의 ‘DDoS 공격 대응 가이드’에 의하면 이러한 DRDoS 공격은 출발지 IP 주소를 변조하고 공격 트래픽이 수많은 반사서버를 경유하기 때문에 공격의 근원지를 파악해 역추적하는 것이 거의 불가능하다.
출처 및 참조:
http://www.boannews.com/media/view.asp?idx=49145 (보안뉴스 철없는 10대들의 게임사 공격기법)
https://ko.wikipedia.org/wiki/TCP/UDP%EC%9D%98_%ED%8F%AC%ED%8A%B8_%EB%AA%A9%EB%A1%9D (위키TCP,UDP 포트 목록)
'정보보호이야기 > 정보보안' 카테고리의 다른 글
| 지능화되어가는 악성 랜섬웨어 및 피싱수법.. 그 해결방도는? (0) | 2016.06.28 |
|---|---|
| 2017년 이후 만료되는 SHA-1 인증서 관련 안내 (0) | 2016.05.31 |
| KISA, IoT 환경에서의 암호·인증기술 이용안내서 발간 (0) | 2016.04.22 |
| 11년 만에 활동 재개하는 해커스랩 사이트 리뉴얼 안내 (0) | 2016.04.22 |
| 정보보호 실천수칙 (0) | 2016.03.12 |
