DoS와 DDoS 공격 03501025 이창진 06501042 양성호 06501028 임수미.

Slides:



Advertisements
Similar presentations
1)RACK 2)UPS 3)P D U 장치 4)Server Group 5)KVM Switch 7)UPS 를 위한 HUB 6) RACK Monitor.
Advertisements

불특정 공격에 무너진 H 사 업무 시스템 서서히 저하 내부에서 원인 불명으로 네트워크의 속도가 서서히 저하 되는 현상이 발생 공격의 발생 핵심 장 비 서비스가 되다 되지 않는 현상이 심해지고 결국 핵심 장 비는 장애가 발생하게 됨 장비 장애 발생 핵심 장비 장애 전체.
7 장. 원격지에서 리눅스서버를 관리하자. 텔넷서버를 설치 / 운영한다. SSH 서버를 운영한다. VNC 서버를 설치 / 운영한다.
HTTPS Packet Capture Tutorial
컴퓨터와 인터넷.

정보 보안 개론과 실습 네트워크 해킹과 보안 3부 해킹 전 정보 획득 Chapter 10. 목록화.
DDoS 3조 권영락.
뇌를 자극하는 Windows Server 2012 R2
소리가 작으면 이어폰 사용 권장!.
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
Chapter 6. 리눅스 백도어 황 선 환.
Network Lab. Young-Chul Hwang
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
Chapter 11 DoS와 DDoS 공격.
18장. 방화벽 컴퓨터를 만들자.
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
발표자 : 손충호 조원 : 유진우, 노유성, 조사랑, 손충호
Hping을 이용한 공격기법과 패킷분석 중부대학교 정보보호학과 심 규 열, 정 성 윤.
5 IP 주소 추적.
11. 해킹기술 (2) - hacking & security -
4장. 웹로직 서버상에서의 JDBC와 JTA의 운용
네트워킹 CHAPTER 13 Section 1 네트워킹의 개요와 java.net 패키지 Section 2 인터넷 주소와 URL
한국골프대학 종합정보시스템 Windows Vista 사용자를 위한 Component 설치안내서
한국골프대학 종합정보시스템 Windows 7 사용자를 위한 Component 설치안내서
Chapter 7. RAS(전화접속,VPN) & IAS
8장. 원격지 시스템 관리하기.
Chapter 21 Network Layer: ARP, ICMP (IGMP).
11장. 포인터 01_ 포인터의 기본 02_ 포인터와 Const.
FTP 프로그램 채계화 박재은 박수민.
13 DoS와 DDoS 공격.
                              데이터베이스 프로그래밍 (소프트웨어 개발 트랙)                               퍼스널 오라클 9i 인스톨.
10 장 데이터 링크 제어(Data Link Control)
DoS와 DDoS 공격 DOS와 DDOS 공격의 이해 DOS 공격의 이해 DDOS 공격의 이해 한빛미디어(주)
DoS/DDoS의 공격유형과 유형별 방어 경북대학교 통신프로토콜 연구실 윤성식.
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
WOL(Wake-On Lan) 컴퓨터공학과 4학년 박기웅.
시스템 인터페이스 Lab3 Unix 사용법 실습.
Network Security WireShark를 활용한 프로토콜 분석 I.
HTTP 프로토콜의 요청과 응답 동작을 이해한다. 서블릿 및 JSP 를 알아보고 역할을 이해한다.
5 IP 주소 추적.
ACL(Access Control List)
Wi-Fi 취약점 분석 본 프로젝트는 Wi-Fi 환경에서의 취약점 분석을 위한 프로젝트로 다양한 공격방법을 테스트
뇌를 자극하는 Windows Server 장. 원격 접속 서버.
Nessus 4 설치 정보보호응용 조용준.
PC에 설치된 엔드포인트 클라이언트 프로그램을 클릭하여 프로그램 상자를 엽니다
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
MAIL CLIENT 김창우 윤성훈 이경재.
Network 네트워크 이론 및 실습 TCP / IP 4장.
ARM Development Suite v1.2
(DDOS & Massive SQL Injection)
10 장 데이터 링크 제어(Data Link Control)
10 장 데이터 링크 제어(Data Link Control)
Packet sniffing 응용 레벨이 아닌 네트워크 디바이스 레벨에서의 데이타을 얻는 것 네트워크 상의 트래픽을 분석
14강. 세션 세션이란? 세션 문법 Lecturer Kim Myoung-Ho Nickname 블스
네트워크 환경 구축과 이미지 전송 호스트/타겟 통신 직렬 통신을 이용한 이미지 전송 수퍼 데몬 BOOTP 환경 구축
01. 개요 네트워크에 있는 컴퓨터와 그룹에 대한 NetBIOS 이름에 대응되는 IP 주소를 찾아주는 서비스
Ping Test.
클러스터 시스템에서 효과적인 미디어 트랜스코딩 부하분산 정책
Chapter 27 Mobile IP.
뇌를 자극하는 Solaris bible.
Introduction to JSP & Servlet
01. 분산 파일 시스템의 개요 네트워크에 분산된 파일을 사용자가 쉽게 접근하고 관리할 수 있게 해준다.
프로그래밍 언어 학습을 위한 가상실습환경 창원대학교 이수현.
4. IP 데이터그램과 라우팅 (6장. 인터넷과 IP) IP 데이터그램 : 특정 물리망에 종속되지 않은 가상의 패킷 형식.
소리가 작으면 이어폰 사용 권장!.
Network Lab. Young-Chul Hwang
1. SNMP Setting IP 설정 NetAgent Mini 카드에 제공된 CD의 Netility 프로그램을 설치하여 프로그램을 실행시킨다. Netility 프로그램을 실행하면 네트워크에 있는 SNMP 카드를 찾게 됩니다. “Configure”를 선택하면 IP 설정.
ARP.
소리가 작으면 이어폰 사용 권장!.
Presentation transcript:

DoS와 DDoS 공격 03501025 이창진 06501042 양성호 06501028 임수미

1. DoS와 DDoS 정의 1) DoS 정의 -DoS 공격형태 -DoS 공격특징 2) DDoS 정의 목 차 1. DoS와 DDoS 정의 1) DoS 정의 -DoS 공격형태 -DoS 공격특징 2) DDoS 정의 2. DoS 공격 1) DoS 공격(7가지) 2) DoS 보안대책

1. DoS와 DDoS 정의

1) DoS(Denial of Service) 서비스 거부 공격 - 대량의 접속 유발해 해당 컴퓨터를 마비 시키는 수법 - 공격 할 서버(시스템)의 하드웨어나 소프트 웨어 등을 무용지물로 만들어, 시스템이 정 상적인 수행을 하는 데 문제를 일으키도록 하는 모든 행위를 의미

1) DoS 공격 서비스요청 User 수미 Victim 성호 Hacker 창진 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 것이 서비스거부 Hacker 창진 Victim 성호 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 것이 아니라 정상적으로 접근하는 사용자들을 막고, 비정상 사용자들이 서버 자원을 독차지하며 훼방을 놓는 공격

1) DoS 공격형태 시스템 파괴 공격 시스템 과부하 공격 네트워크 서비스 거부 공격 디스크 포멧/ 시스템 삭제 네트워크 접속 차단 시스템 과부하 공격 프로세스, 네트워크 고갈 디스크 채우기 네트워크 서비스 거부 공격 SYN, UDP Flooding Smurf, land

1) DoS 공격특징 ① 루트 권한을 획득하는 공격이 아니다. ② 데이터를 파괴하거나, 변조하거나, 훔쳐가는 것을 ① 루트 권한을 획득하는 공격이 아니다. ② 데이터를 파괴하거나, 변조하거나, 훔쳐가는 것을 목적으로 하는 공격이 아니다. ③ 공격의 원인이나 공격자를 추적하기 힘들다. ④ 공격 시 이를 해결하기 힘들다.   

1) DoS 공격특징 ⑤ 매우 다양한 공격 방법들이 가능하다. ⑥ 공격의 결과는 공격 당한 시스템의 구현과 매우  ⑤ 매우 다양한 공격 방법들이 가능하다.  ⑥ 공격의 결과는 공격 당한 시스템의 구현과 매우 밀접한 관계를 가지기 때문에  결과 또한 서로 다른 시스템에 따라 다른 결과를 발생시킬 수 있다.  ⑦ 다른 공격을 위한 사전 공격으로 이용될 수 있다.   ⑧ 사용자의 실수로 발생할 수 있다. 

2) DDoS(Distributed Denial of Service) 분산 서비스 거부공격 DOS를 한 단계 더 향상시킨 공격 기법. - 네트워크 패킷을 크게 늘려 서비스를 정상적 으로 접근할 수 없게 만드는 ‘DOS 공격용 프로그램’을 분산 설치한 뒤, 서로 통합된 형태로 공격 대상시스템에 대해 성능 저하 및 시스템 마비를 유도

2) DDoS 공격 Hacker 창진 Victim 성호 직접 시스템에서 특정 정보를 빼낼 수는 없지만, 악의적인 System in NY System in Canada System in London System in Paris System in Tokyo Victim 성호 직접 시스템에서 특정 정보를 빼낼 수는 없지만, 악의적인 목적으로 시스템을 망치기 위해서는 매우 효과적이다.

2. DoS 공격

1) DoS 공격(7가지) (1) Ping of Death (2) SYN Flooding (3) Boink, Bonk 및 Teardrop (4) Land (5) Win Nuke (OOB, Out of Band) (6) Smurf와 Fraggle (7) Mail Bomb

(1) Ping of Death ‘죽음의 핑 날리기’ 공격방법 ICMP 패킷 최대 65500byte 임의생성 Ping 이용 ICMP 패킷 아주 크게 만듦 네트워크 통해 라우팅 됨 공격 네트워크에 도달하는 동안 아주 작은 조각이 되어 처리하는데 과부하 걸리게 함 ICMP 패킷 최대 65500byte 임의생성

(1) Ping of Death Ping of Death 실습 ping –n 100 –l 65500 172.16.0.3

(1) Ping of Death 공격대상에서의 TCPDump

[ Tcpdump Tool ] 리눅스 계열의 명령어. 인터넷의 기초 프로토콜인 TCP/IP 를 통해 오고 가는 내용을 모두 캡쳐하는 프로그램. 다운로드 : http://www.tcpdump.org/ http://www.winpcap.org/windump/

[ Ethereal Tool ] Tcpdump 와 마찬가지로 TCP/IP를 통해 오고 가는 패킷을 캡쳐하고 분석도 쉽게 해주는 프로그램 “제럴드 콤스”가 네트워크에서 발생되는 문제 해결 하기 위해 분석의 필요성을 느껴 만든 프로그램 다운로드 : http://www.ethereal.com/

Ethereal 둘러보기 - Main View (1) <실행화면>

Ethereal 둘러보기 - Main View (2) Capture된 Packet의 list Packet의 분석 내용 Packet의 실제 데이터

Ethereal 둘러보기 - Tool bar (3) : Capture관련 icons : Capture가능한 interface list를 보여준다 : Capture option : Capture 시작/중지/재시도 : 환경 설정 Packet filter

Packet Capture (4) Interface 관련 설정 Capture시 적용 filter Capture를 저장할 파일 <Capture Options 설정화면>

Packet Capture (5) <Capture된 화면>

(2) SYN Flooding 서버별 한정되어 있는 동시 사용자 수를   서버별 한정되어 있는 동시 사용자 수를 존재하지 않는 클라이언트가 접속한 것처럼 속여 다른 사용자가 서버에서 제공하는 서비 스를 받지 못하게 하는 공격 기법

(2) SYN Flooding TCP의 3-Way HandShake (1) 클라이언트는 일련번호와 패킷크기를 포함한 정보를 서버에 전송하여연결을 시작한다.  (2) 서버는 클라이언트가 보낸 세션 정보로 응답한다.  (3) 클라이언트는 서버로부터 수신한 정보에 동의하고 승인한다. 

(2) SYN Flooding TCP의 3-Way HandShake의 취약점

(2) SYN Flooding Host 창진 Host 수미 Host 성호 (1) TCP 연결 요청 TCP SYN packet전송 발신 주소 : Host 수미 수신 주소 : Host 성호 (4) TCP 연결 대기 큐가 overflow될 때까지 “성호”에게 계속 연결요청 (2) “수미”에게 응답 TCP SYN/ACK packet 전송 (3) “성호”는 “수미” 응답 대기 TCP ACK packet 대기 (5) “수미”로부터 ACK 없음 대기 큐 overflow

(2) SYN Flooding SYN Flooding 실습 << SYN Flooding 소스 컴파일 및 실행 (./synk 0 203.252.20.163 21 80) >>

(2) SYN Flooding << SYN Flooding 공격 실행 화면 >>

(2) SYN Flooding - Source에는 공격자의 IP가 나와 있다. 모두 무작위로 선정되어 있다. << 공격 대상 컴퓨터에서 "Ethereal – NetworkProtocol Analyzer“ 을 이용하여 패킷을 캡쳐 >> - Source에는 공격자의 IP가 나와 있다. 모두 무작위로 선정되어 있다. - Destination에는 공격 대상의 IP가 나와 있다. - info 부분을 보면 SYN 패킷이 연속적으로 늘어 난 것을 볼 수 있다. 이로 인해 SYN Flooding 공격이 실시되고 있는 것을 알 수 있다.

(2) SYN Flooding SYN Flooding 실습

(3) Boink, Bonk 및 Teardrop 프로토콜은 신뢰성을 확보하고자 신뢰성이 이루어지지 않은 연결에 대해 반복적인 재요 구와 수정을 하게 됨 Boink, Bonk 및 Teardrop는 공격 대상에 프로 토콜이 반복적인 재 요구와 수정을 계속하게 함으로써 시스템의 자원을 고갈시키는 공격.

(3) Boink, Bonk 및 Teardrop -패킷 전송 방식의 조립과정을 방해하는 공격 기법 -생성-> 전달-> 조립 (Sequence number) -seq를 중복해서 보내는 방법

(3) Boink, Bonk 및 Teardrop 패킷을 겹치게 또는 일정한 간격의 데이터가 빠지게 전송한다.

(3) Boink, Bonk 및 Teardrop << Newtear 컴파일 및 공격 실행 화면 (공격 횟수 : 100번) >>

(3) Boink, Bonk 및 Teardrop << Newtear 컴파일 및 공격 실행 화면 (공격 횟수 : 10000번) >>

(3) Boink, Bonk 및 Teardrop 공격 대상 컴퓨터에서 "Ethereal - Network Protocol Analyzer"을 이용하여 패킷 캡쳐 - Source에는 공격자의 IP 번호가 나와 있다. - Destination에는 공격 대상의 IP가 나와 있다. - info를 보면 알 수 있듯이 모든 패킷이 동일한 아이디와 크기, 시퀀스 넘버를 가지고 있는 중첩 공격임을 알 수 있다.

(3) Boink, Bonk 및 Teardrop

(4) Land 패킷을 전송할 때 출발지 IP 주소와 목적지 IP 주소 값을 공격대상의 IP 주소 값과 똑같이 만들어서 공격 대상에게 보냄 시스템은 Reply 패킷을 출발지 IP 주소 값을 참조하여 그 값을 목적지 IP 주소 값으로 설정하여 패킷을보냄 하지만 이 값은 자신의 IP 주소 값이므로 네트워크 밖으 로 나가지 않고 자기자신에게 다시 돌아온다.  이 공격은 SYN Flooding처럼 동시 사용자 수를 점유해버 리며,  CPU 부하까지 올리게 된다.

(4) Land - 출발지 IP 주소와 목적지 IP 주소 값이 같은 것을 알 수 있다.

(4) Land Land 실습

(5) Win Nuke (OOB, Out of Band) 개인용 컴퓨터, 윈도우를 작동불능으로 만들기 위해 쓰임. Nuking이라고 함. 윈도우의 ‘죽음의 푸른 화면’이라고 불리는 파란 화면이 뜨도록 하는 공격. 139번 포트를 스캔 하여 열려 있는지 확인하고 패킷을 전송하면 공격대상은 수많은 Urgent 패킷을 인식하고 모든 시스템의 세션을 닫은 뒤 재 연결을 요구하게 되는데 이때 CPU에 과부하가 걸리게 된다. 심한 경우 시스템이 망가지기도 함.

(5) Win Nuke (OOB, Out of Band)

(5) Win Nuke (OOB, Out of Band)

(5) Win Nuke (OOB, Out of Band)

(6) Smurf와 Fraggle IP와 ICMP의 특징 이용 ICMP의 패킷을 이용하여 공격

(6) Smurf와 Fraggle Smurf와 Fraggle 실습

(7) Mail Bomb - 흔히 폭탄 메일이라 함. - 스팸메일도 일종의 Mail Bomb. - 흔히 폭탄 메일이라 함. - 스팸메일도 일종의 Mail Bomb. - 메일이 폭주하여 디스크 공간을 가득 채우면 정작 받아야 할 메일을 받을 수 없게 된다. 이런 이유로 일종의 DoS 공격이 될 수 있다. - 공격은 툴을 사용해도 되며, 메일 서버를 만들 어 익명 또는 임의의 이름으로 메일을 보냄.

(7) Mail Bomb Mail Bomb 실습

2. DoS 공격 보안대책 - 여분의 장비 설치하고 튼튼하게 설계되어 있다면 서비스 거부 공격을 이겨낼 수 있다. 효율적이고 robust한 설계 대역폭 제한 시스템의 패치 적용 최소한의 서비스 제공 필요 트래픽만 허용 IP주소 차단 - 여분의 장비 설치하고 튼튼하게 설계되어 있다면 서비스 거부 공격을 이겨낼 수 있다. - 복수의 인터넷 회선과 복수의 서버를 두어 한 서버에서 문제가 발생할 경우 모든 트래픽을 다른 서버로 자동 접속하게 하여 동일한 서비스를 제공해서 피해 를 최소화한다. [ DoS 공격 보안대책 ]

4. DoS 공격 보안대책 효율적이고 robust한 설계 대역폭 제한 시스템의 패치 적용 최소한의 서비스 제공 필요 트래픽만 허용 IP주소 차단 - DoS 공격은 하나의 프로토콜이 다른 모든 대역폭을 소모한다. 이에 대한 대안으로 프로토콜 별로 대역폭을 제한한다. ex) 25번 포트의 사용 가능한 대역폭은 25%, 80번 포트는 50% [ DoS 공격 보안대책 ]

4. DoS 공격 보안대책 [ DoS 공격 보안대책 ] 효율적이고 robust한 설계 대역폭 제한 시스템의 패치 적용 최소한의 서비스 제공 필요 트래픽만 허용 IP주소 차단 [ DoS 공격 보안대책 ] - 새로운 Dos 공격 취약성이 발견 되었을 때 vendor는 문제를 규명 하고 패치를 제공한다. - 시스템 관리자는 최신 패치를 확인하고 시스템에 적용시켜 서비스거부 공격을 최소화 시켜야 한다. [ DoS 공격 보안대책 ]

4. DoS 공격 보안대책 - 최소한의 서비스만을 제공 하는 것은 모든 공격에 대한 가능성을 최소화시키는 것 효율적이고 robust한 설계 대역폭 제한 시스템의 패치 적용 최소한의 서비스 제공 필요 트래픽만 허용 IP주소 차단 - 최소한의 서비스만을 제공 하는 것은 모든 공격에 대한 가능성을 최소화시키는 것 - 최소한의 권한과 최소한의 서비스는 보안성을 높인다. [ DoS 공격 보안대책 ]

4. DoS 공격 보안대책 - 최소한의 서비스 제공과 비슷 - 침입차단시스템과 라우터 등 네트워크 경계에 집중 효율적이고 robust한 설계 대역폭 제한 시스템의 패치 적용 최소한의 서비스 제공 필요 트래픽만 허용 IP주소 차단 - 최소한의 서비스 제공과 비슷 - 침입차단시스템과 라우터 등 네트워크 경계에 집중 - 침입차단시스템은 꼭 필요한 네트워크 트래픽의 출입만 허용하 도록 적절한 필터링이 되어야 함 [ DoS 공격 보안대책 ]

4. DoS 공격 보안대책 효율적이고 robust한 설계 대역폭 제한 시스템의 패치 적용 최소한의 서비스 제공 필요 트래픽만 허용 IP주소 차단 - 시스템관리자는 지금 공격 당하는 중임을 알게 된 후 즉각적으로 공격자의 IP주소를 라우터에서 차단해야 함. - IP를 차단해도 라우터까지는 이미 공격자의 트래킥으로 넘쳐나기 때문에 일반사용자는 서비스를 사용하지 못하는 문제가 발생. - 관리자는 즉시 ISP 또는 상위 서비스제공자에게 연락하여 패킷 차단을 요청해야 함. [ DoS 공격 보안대책 ]

Q&A 감사합니다.