1. 서론 |
분산서비스거부(Distributed Denial of Service, 이하 DDoS) 공격은 해가 갈수록 증가하고 있으며, 공격 규모 또한 기하급수적으로 증가하고 있다. 미국의 네트워크 보안회사 Arbornetworks에 따르면 지난 10년 동안 DDoS 공격의 최대 규모가 8Gbps에서 400Gbps 증가했다고 밝혔다. 또한 400Gbps 규모로 감행된 공격은 분산반사서비스거부(Distributed Reflection Denial of Service, 이하 DRDoS) 공격으로 밝혀졌다. 공격기법은 갈수록 점점 다양화, 지능화되고 있으며 보안 침해사고방지 및 대응을 위해서 관련 공격기법에 대한 전반적인 이해는 필수이다. 올바른 윤리의식을 가지고 공격기법에 대한 이해를 겸하고 있는 보안 전문가는 우리 사회에 반드시 필요한 인재이며, 이것이 내가 보안을 공부하면서 가지는 가치관이다.
2. DRDoS란 무엇인가? |
최근의 DDoS들은 네트워크 프로토콜의 특성을 악용하고 정상적인 서비스를 운영하고 있는 시스템을 공격의 반사체(Reflector)로 이용해 공격 규모를 더욱 증폭(Amplification)시킨다. 이러한 공격을 DRDoS라고 일컫는데, DDoS 보다 한 단계 진화된 공격이라 볼 수 있다.
*공격명이 DRDoS 또는 Amplification Attack으로 같이 쓰이고 있는데 프로토콜 자체의 특성을 이용하여 증폭률을 높이는 방법, 취약한 서버를 반사체로 이용하는 방법, 두 방법 모두 공격 규모를 증폭시키는 것이 목적이므로, 굳이 공격명을 혼용할 필요가 없다고 판단하여 DRDoS로 통일하여 작성하였다.
3. DRDoS 공격방법 및 원리 |
DRDoS공격은 보통 다음과 같은 방법으로 이루어진다.
1) 공격자는 출발지 IP를 공격대상 IP로 변조한 후 취약한 서버들에 패킷의 크기를 증폭 시키는 요청을 한다.
NTP monlist 요청을 예로들면, 최근 접속한 600개의 클라이언트 정보를 전송하기 때문에 응답 패킷의 크기가 증폭 됨
2) 출발지 IP가 공격대상 IP로 변조되었으므로 증폭 된 패킷이 공격대상 IP로 전달된다.
3) 결과적으로 수많은 서버로부터 증폭된 응답 패킷을 받은 공격대상은 정상적인 서비스를 할 수 없게 된다.
4. DRDoS 특징 |
1) 10~500배 이상의 트래픽을 증폭시킬 수 있다.
→ 정상적인 서비스를 하는 반사서버(Reflector)와 프로토콜별 특성을 악용해 가능하다.
→ 언제든지 역사적인 규모의 DRDoS가 발생 할 수 있다.
2) 우월한 공격자 은닉이 가능하다.
→ 오류 검사를 하지 않는 UDP 프로토콜의 특징을 이용해 출발지IP Spoofing이 쉽게 가능하고, 수 많은 Reflector와 좀비PC를 경유하므로, 그 근원지의 역추적 또한 거의 불가능하다.
3) 인터넷에 접속된 라우터나 프린터 등 들어오는 패킷에 응답하는 모든 장비들이 잠재적으로 공격에 활용될 수 있다.
→ 2014년 5월 국내 게임업체를 대상으로 NTP DRDoS가 발생하여 KISA에서 조사한 결과, 공격에 사용된 시스템은 냉/난방 관리용 셋톱박스로 밝혀졌다.
5. DRDoS에 이용되는 프로토콜들 |
공격자들은 증폭률이 높고, 대부분의 서버에서 서비스하고 있는 프로토콜을 활용한다. 아래 표는 US-CERT에서 DRDoS에 이용되는 UDP-based 프로토콜의 증폭률과 증폭시키기 위한 커맨드를 정리한 내용이다.
6. 참고 |
https://en.wikipedia.org/wiki/Denial-of-service_attack#Reflected_.2F_spoofed_attack
https://www.stateoftheinternet.com/faq-best-practices-drdos-attacks-what-is-dr-dos-reflection.html
https://www.us-cert.gov/ncas/alerts/TA14-017A
http://www.etnews.com/20140516000085
학습을 목적으로 작성 된 문서입니다. 질문 & Feedback은 언제든지 환영합니다.
동의없이 무단 배포 및 수정을 허용하지 않습니다.