DoS/DDoS의 공격유형과 유형별 방어 경북대학교 통신프로토콜 연구실 윤성식

목 차 서비스 거부(DoS) 공격 분산 서비스 거부(DDoS) 공격 결론 정의 공격형태 특징 공격원리 공격유형 유형별 대처방법 공격도구 별 특성 대처방법 결론

서비스 거부 공격

정 의 서비스 거부 (DoS: Denial of Service)공격 공격자의 컴퓨터로부터 표적 시스템과 그 시스템이 속한 네트웍에 과다한 데이터를 보냄으로써 대역폭, 프로세스 처리능력, 기타 시스템 자원을 고갈시킴으로써 정상적인 서비스를 할 수 없도록 하는 행위

공격 형태 시스템 파괴 공격 시스템 과부하 공격 네트워크 서비스 거부 공격 디스크 포멧/ 시스템 삭제 네트워크 접속 차단 프로세스, 네트워크 고갈 디스크 채우기 네트워크 서비스 거부 공격 SYN, UDP Flooding Smurf, land

특 징   ① 루트 권한을 획득하는 공격이 아니다.   ② 데이터를 파괴하거나, 변조하거나, 훔쳐가는 것을 목적으로 하는 공격이 아니다.   ③ 공격의 원인이나 공격자를 추적하기 힘들다.   ④ 공격시 이를 해결하기 힘들다.   

특 징   ⑤ 매우 다양한 공격 방법들이 가능하다.   ⑥ 공격의 결과는 공격당한 시스템의 구현과 매우 밀접한 관계를 가지기 때문에  결과 또한 서로 다른 시스템에 따라 다른 결과를 발생시킬 수 있다.   ⑦ 다른 공격을 위한 사전 공격으로 이용될 수 있다.   ⑧ 사용자의 실수로 발생할 수도 있다. 

공격 원리 Queueing system

공격 원리 Queueing system(under attack)

공격 유형 (SYN_Flooding) TCP의 Three Way HandShake

공격 유형 (SYN_Flooding) TCP의 Three Way HandShake의 취약점

공격 유형 (SYN_Flooding) 공격에 의한 피해증상

공격 유형 (UDP_Flooding) UDP의 IP와 PORT의 노출 이용

공격 유형 (Smurfing) ICMP의 특징을 악용

유형별 대처방법 (1) SYN flooding 공격에 대한 대책 ① queue를 늘려주는 방법 ② 패킷 필터링   ② 패킷 필터링   ③ 방화벽의 설치

유형별 대처방법 (2) TCP 순서 번호 공격에 대한 대책 ① 라우터나 방화벽으로 패킷 필터링 ② 보안 패치   ① 라우터나 방화벽으로 패킷 필터링   ② 보안 패치   ③ 주소로 인증하는 것을 차단   ④ 올바른 구성 및 운영

유형별 대처방법 (3) ICMP 보안 대책 ① 각 사용자들에 대해서 quota를 할당 ② 다른 프로세스 종료 후 처리 프로세스 할당 ③ 프로세스 종료, 시스템 종료

유형별 대처방법 (4) IP 스푸핑 공격에 대한 대책 ① 라우터로 패킷 필터링 ② 무작위의 순서 번호 생성    ① 라우터로 패킷 필터링 ② 무작위의 순서 번호 생성 ③ 암호화된 순서 번호 ④ 로깅(logging)과 경고 기능(altering)을 강화하여 비정상적인 패킷을 발생시키는지 감시

분산 서비스 거부 공격

정 의 분산 서비스 거부(Distributed Denial of Service) 공격 많은 수의 호스트들에 패킷을 범람시킬 수 있는 DoS공격용 프로그램들이 분산 설치되어 이들이 서로 통합된 형태로 어느 목표 시스템(네트워크)에 대하여 일제히 데이터 패킷을 범람시켜서 그 표적 시스템(네트워크)의 성능저하 및 시스템 마비를 일으키는 기법

DDoS

DoS / DDoS 의 차이 DoS DDoS

공격도구별 특성 DDoS 공격도구별 통신 특성 DDoS공격도구 통신 포트 trinoo  통신 포트 trinoo 1524 tcp, 27665 tcp, 27444 tcp, 31335 udp 사용 TFN ICMP ECHO, ICMP ECHO REPLY 사용 Stacheldraht 16660 tcp, 65000 tcp, ICMP ECHO, ICMP ECHO REPLY 사용 TFN2000 통신에 특정 포트가 사용되지는 않고 UDP, ICMP, TCP 등 복합적으로 사용된다. 실행 시에 포트번호가 정해지거나 프로그램에 의해 임의의 포트가 선택되어 진다.

대처방법 블랙홀링(BlackHoling): 라우터에서 특정 목적지(Victim)로 전송되는 모든 트래픽을 차단한 후 블랙홀이라고 하는 일종의 폐기장소로 보내서 소멸 라우터(Router): ACL(Access Control List)을 이용한 필터링 방화벽(Firewall): 악의를 가진 트래픽을 차단

대처방법 ④ 침입 탐지 시스템(Intrusion Detecting System): 서비스와는 별도의 차단 시스템을 추가로 사용 ⑤ 매뉴얼 반응(Manual Response): 사람이 직접 수작업을 통해 방어 ⑥ 로드 밸런싱(Load Balancing): 더욱 용량이 큰 트래픽에 대해서도 처리할 수 있도록 네트워크의 대역폭 및 성능을 강화

대처방법 ⑦ TCP 대신 SCTP 이용: 안정성이 강화된 프로토콜. Four Way HandShake방식 Assoc -iation is up INIT INIT-ACK COOKIE-ECHO COOKIE-ACK Endpoint A Endpoint Z User data can be attached

결 론 피해의 증가

결 론 우리의 생활에 광범위하게 영향을 미치고 있는 인터넷 의 안전성 확보 공격대상이 확대 창과 방패의 대결인 정보보호 국가의 안위와도 관련되는 매우 중요한 분야로 부상 공격대상이 확대 공격범위 개인 -> 국가의 확대로 피해가 상상을 초월 창과 방패의 대결인 정보보호 관리자 -> 책임감 있게 보안을 위해 24시간 감시 연구 일반 사용자 -> 정보보안을 인식하고 보안 패치 등의 노력