DDoS 3조 권영락

Contents DoS와 DDoS 공격의 이해 DoS 공격 DDoS 공격 DDoS 사례 DDoS 공격에 대한 대응책 2/21

DoS와 DDoS 공격의 이해 DoS DDoS Denial of Service 1:1 공격 파괴 공격 시스템 자원 고갈 공격 네트워크 자원 고갈 공격 DDoS Distributed Denial of Service DoS 공격의 업그레이드 많은 DoS 공격이 공격자 에 의해 동시에 일어남 공격의 근원지를 찾는 것이 거의 불가능 3/21

DoS 공격 4/21

DoS 공격 – Ping of Death (1/2) ‘죽음의 핑 날리기’ 윈도우 95, 98, 레드햇 리눅스 6.0 유효 NetBIOS 해킹과 함께 흔한 초기 DoS 공격 5/21

DoS 공격 – Ping of Death (2/2) ICMP 65,500 바이트로 설정 최대 전공 가능 패킷의 길이가 100바이트 패킷 하나가 655개로 분할 되는 것 6/21

DoS 공격 – SYN Flooding (1/2) 존재하지 않는 클라이언트가 서버로 접속 가능 공간에 접속한 것처럼 속여 다른 사용자가 서비스를 제공 받지 못하게 함 7/21

DoS 공격 – SYN Flooding (2/2) 클라이언트 서버 SYN(100) 철수 “여보세요?” SYN(200)+ACK(101) 영희 “여보세요?” ACK(201) 철수 “나야 철수” 3-way handshake SYN SYN SYN SYN + ACK 클라이언트 서버 SYN + ACK SYN + ACK 8/21

DoS 공격 – Boink, Bonk, Teardrop (1/2) 프로토콜은 기본적으로 신뢰성을 높이고자 하는 목적을 가지고 있음 패킷의 순서, 손실된 패킷, 손실된 패킷 재전송 요구 3가지 요구를 위반 함으로써 DoS 공격을 가함 9/21

DoS 공격 – Boink, Bonk, Teardrop (2/2) Bonk는 처음 패킷을 1번으로 보낸 후 두번째, 세번째 패킷 모두 시퀀스 넘버를  1번으로 조작해서 보낸다. Bonk를 수정한 Boink 공격은 처음 패킷을 1번으로 보낸 후 두번째 패킷은 101번, 세번째 패킷은 201번으로 정상적으로 보내다가 중간에서 일정한 시퀀스 넘버로 보낸다. 열번째 패킷은 1001번, 열한번째 패킷도 100번, 열두번째 패킷도 1001번으로 보내는 것 Teardrop은 패킷을 겹치게, 정한 간격의 데이터가 빠지게 전송함 10/21

DoS 공격 – Land 패킷의 출발지 IP주소와 도착지 IP주소를 같게 하여 공격 시스템의 가용 사용자를 점유, 시스템 부하를 높임 11/21

DoS 공격 – Win Nuke(OOB) 윈도우를 작동불능으로 만들기 위해 많이 쓰였던 것으로 일반적으로 Nuking이라고 하며, 윈도우의 블루스크린을 뜨게 하는 공격 방법 상대방 시스템에 139번 포트를 스캔하여 열려 있는지 확인하고, 패킷에 URG(Urgent)를 On 상태(송수신 중간에 발생할 수 있는 비정상적인 상태)로 하여 패킷을 전송하는데 시스템 상에서 <Ctrl + Break> 또는 <Ctrl + C> 키를 누르는 것과 같은 역할을 해, 공격 대상은 수많은 Urgent 패킷을 인식하고 모든 시스템의 세션을 닫은 뒤 재연결을 요구하게 되면서 CPU에 과부하가 걸리게 하는 공격 방법 12/21

DoS 공격 – Smurf, Fraggle Smurf Fraggle 웜이 네트워크를 공격하는데 많이 쓰임 ICMP 패킷을 이용 Broadcast를 함 Fraggle - UDP 패킷을 이용함 13/21

DoS 공격 – Mail Bomb ‘폭탄 메일’ ≒ ‘스팸 메일’ - 엄청난 양의 메일을 보내 디스크 공간을 가득 채움으로써 정작 받아야 하는 메일을 받을 수 없음 14/21

DoS 공격 – 시스템 자원 고갈 공격 System Resource Exhaustion Attack 로컬 공격 가용 디스크 자원 고갈 가용 메모리 자원 고갈 가용 프로세스 자원 고갈 15/21

DDoS 공격 16/21

DDoS 공격 – 일반적인 순서 1. 일반 계정을 획득하여 스니핑이나 버퍼 오버플로우 등의 공격으로 설치 권한이나 루트 권한을 획득한다. 2. 잠재적인 공격대상을 파악하기 위해 네트워크 블록 별로 스캐닝을 실시하여, 원격지에서 버퍼 오버플로우를 일으킬 수 있는 취약한 서비스를 제공하는 서버를 파악한다. 3. 취약한 시스템의 리스트를 확인한 뒤, 실제 공격을 위한 Exploit을 작성한다. 4. 권한을 획득한 시스템에 침투하여 Exploit을 컴파일하여 설치한다. 5. 설치한 Exploit로 공격을 시작한다. 17/21

DDoS 공격 Tools DDoS 공격도구 통신 포트 trinoo 1524 tcp, 27665 tcp, 27444 tcp, 31335 udp TFN ICMP ECHO, ICMP ECHO REPLY Stacheldraht 16660 tcp, 65000 tcp, ICMP ECHO, ICMP ECHO REPLY TFN2000 통신에 특정 포트가 사용되지는 않고 UDP, ICMP, TCP 복합적으로 사용, 실행 시에 포트번호가 정해지거나 프로그램에 의해 임의의 포트가 선택되어 짐 18/21

DDoS 사례 7.7 DDoS 공격 3.3 DDoS 공격 1차 공격 2차 공격 3차 공격 피해 2009년 7월 7일 오후 6시 대한민국, 미국 주요 26개 사이트 2차 공격 2009년 7월 8일 오후 6시 1차 공격사이트와 메일서비스 3차 공격 2009년 7월 9일 오후 6시 국가정보원, 일부 금융기관 홈페이지 피해 : 일부에서 감염된 컴퓨터의 하드 디스 크를 파괴하는 코 드가 발견되었으며, 7월 10일 기점으로 작동 하드디스크 마 스터 부트 레코드 손상, 부팅 불가능 2011년 3월 3일 대한민국 주요 정부기관, 포털 사이트, 은행 사이트 7.7 DDoS 공격 보다 진화된 형태 P2P 파일 공유 사이트에 올라온 일부 파일에 삽입돼 유포 피해 : 컴퓨터의 하드 디스크를 파괴 19/21

DDoS 공격에 대한 대응책 운영체제 E-mail S/W 보안제품 Password 첨부파일 Active X 패치 업데이트 공유 영문, 숫자, 특수문자 S/W 정품 S/W E-mail Messenger 첨부파일 Active X 20/21

Q n A 7h4nk Y0u !!