DoS와 DDoS 공격 03501025 이창진 06501042 양성호 06501028 임수미.

Presentation on theme: "DoS와 DDoS 공격 03501025 이창진 06501042 양성호 06501028 임수미."— Presentation transcript:

1 DoS와 DDoS 공격 이창진 양성호 임수미

2 1. DoS와 DDoS 정의 1) DoS 정의 -DoS 공격형태 -DoS 공격특징 2) DDoS 정의
목 차 1. DoS와 DDoS 정의 1) DoS 정의 -DoS 공격형태 -DoS 공격특징 2) DDoS 정의 2. DoS 공격 1) DoS 공격(7가지) 2) DoS 보안대책

3 1. DoS와 DDoS 정의

4 1) DoS(Denial of Service)
서비스 거부 공격 - 대량의 접속 유발해 해당 컴퓨터를 마비 시키는 수법 - 공격 할 서버(시스템)의 하드웨어나 소프트 웨어 등을 무용지물로 만들어, 시스템이 정 상적인 수행을 하는 데 문제를 일으키도록 하는 모든 행위를 의미

5 1) DoS 공격 서비스요청 User 수미 Victim 성호 Hacker 창진 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 것이
서비스거부 Hacker 창진 Victim 성호 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 것이 아니라 정상적으로 접근하는 사용자들을 막고, 비정상 사용자들이 서버 자원을 독차지하며 훼방을 놓는 공격

6 1) DoS 공격형태 시스템 파괴 공격 시스템 과부하 공격 네트워크 서비스 거부 공격 디스크 포멧/ 시스템 삭제
네트워크 접속 차단 시스템 과부하 공격 프로세스, 네트워크 고갈 디스크 채우기 네트워크 서비스 거부 공격 SYN, UDP Flooding Smurf, land

7 1) DoS 공격특징 ① 루트 권한을 획득하는 공격이 아니다. ② 데이터를 파괴하거나, 변조하거나, 훔쳐가는 것을
① 루트 권한을 획득하는 공격이 아니다. ② 데이터를 파괴하거나, 변조하거나, 훔쳐가는 것을 목적으로 하는 공격이 아니다. ③ 공격의 원인이나 공격자를 추적하기 힘들다. ④ 공격 시 이를 해결하기 힘들다.   

8 1) DoS 공격특징 ⑤ 매우 다양한 공격 방법들이 가능하다. ⑥ 공격의 결과는 공격 당한 시스템의 구현과 매우
 ⑤ 매우 다양한 공격 방법들이 가능하다.  ⑥ 공격의 결과는 공격 당한 시스템의 구현과 매우 밀접한 관계를 가지기 때문에  결과 또한 서로 다른 시스템에 따라 다른 결과를 발생시킬 수 있다.  ⑦ 다른 공격을 위한 사전 공격으로 이용될 수 있다. ⑧ 사용자의 실수로 발생할 수 있다. 

9 2) DDoS(Distributed Denial of Service)
분산 서비스 거부공격 DOS를 한 단계 더 향상시킨 공격 기법. - 네트워크 패킷을 크게 늘려 서비스를 정상적 으로 접근할 수 없게 만드는 ‘DOS 공격용 프로그램’을 분산 설치한 뒤, 서로 통합된 형태로 공격 대상시스템에 대해 성능 저하 및 시스템 마비를 유도

10 2) DDoS 공격 Hacker 창진 Victim 성호 직접 시스템에서 특정 정보를 빼낼 수는 없지만, 악의적인
System in NY System in Canada System in London System in Paris System in Tokyo Victim 성호 직접 시스템에서 특정 정보를 빼낼 수는 없지만, 악의적인 목적으로 시스템을 망치기 위해서는 매우 효과적이다.

11 2. DoS 공격

12 1) DoS 공격(7가지) (1) Ping of Death (2) SYN Flooding (3) Boink, Bonk 및 Teardrop (4) Land (5) Win Nuke (OOB, Out of Band) (6) Smurf와 Fraggle (7) Mail Bomb

13 (1) Ping of Death ‘죽음의 핑 날리기’ 공격방법 ICMP 패킷 최대 65500byte 임의생성
Ping 이용 ICMP 패킷 아주 크게 만듦 네트워크 통해 라우팅 됨 공격 네트워크에 도달하는 동안 아주 작은 조각이 되어 처리하는데 과부하 걸리게 함 ICMP 패킷 최대 65500byte 임의생성

14 (1) Ping of Death Ping of Death 실습 ping –n 100 –l

15 (1) Ping of Death 공격대상에서의 TCPDump

16 [ Tcpdump Tool ] 리눅스 계열의 명령어. 인터넷의 기초 프로토콜인 TCP/IP 를 통해 오고
가는 내용을 모두 캡쳐하는 프로그램. 다운로드 :

17 [ Ethereal Tool ] Tcpdump 와 마찬가지로 TCP/IP를 통해 오고 가는
패킷을 캡쳐하고 분석도 쉽게 해주는 프로그램 “제럴드 콤스”가 네트워크에서 발생되는 문제 해결 하기 위해 분석의 필요성을 느껴 만든 프로그램 다운로드 :

18 Ethereal 둘러보기 - Main View (1)
<실행화면>

19 Ethereal 둘러보기 - Main View (2)
Capture된 Packet의 list Packet의 분석 내용 Packet의 실제 데이터

20 Ethereal 둘러보기 - Tool bar (3)
: Capture관련 icons : Capture가능한 interface list를 보여준다 : Capture option : Capture 시작/중지/재시도 : 환경 설정 Packet filter

21 Packet Capture (4) Interface 관련 설정 Capture시 적용 filter Capture를 저장할 파일
<Capture Options 설정화면>

22 Packet Capture (5) <Capture된 화면>

23 (2) SYN Flooding 서버별 한정되어 있는 동시 사용자 수를
  서버별 한정되어 있는 동시 사용자 수를 존재하지 않는 클라이언트가 접속한 것처럼 속여 다른 사용자가 서버에서 제공하는 서비 스를 받지 못하게 하는 공격 기법

24 (2) SYN Flooding TCP의 3-Way HandShake (1) 클라이언트는 일련번호와 패킷크기를 포함한 정보를
서버에 전송하여연결을 시작한다.  (2) 서버는 클라이언트가 보낸 세션 정보로 응답한다.  (3) 클라이언트는 서버로부터 수신한 정보에 동의하고 승인한다. 

25 (2) SYN Flooding TCP의 3-Way HandShake의 취약점

26 (2) SYN Flooding Host 창진 Host 수미 Host 성호 (1) TCP 연결 요청
TCP SYN packet전송 발신 주소 : Host 수미 수신 주소 : Host 성호 (4) TCP 연결 대기 큐가 overflow될 때까지 “성호”에게 계속 연결요청 (2) “수미”에게 응답 TCP SYN/ACK packet 전송 (3) “성호”는 “수미” 응답 대기 TCP ACK packet 대기 (5) “수미”로부터 ACK 없음 대기 큐 overflow

27 (2) SYN Flooding SYN Flooding 실습
<< SYN Flooding 소스 컴파일 및 실행 (./synk ) >>

28 (2) SYN Flooding << SYN Flooding 공격 실행 화면 >>

29 (2) SYN Flooding - Source에는 공격자의 IP가 나와 있다. 모두 무작위로 선정되어 있다.
<< 공격 대상 컴퓨터에서 "Ethereal – NetworkProtocol Analyzer“ 을 이용하여 패킷을 캡쳐 >> - Source에는 공격자의 IP가 나와 있다. 모두 무작위로 선정되어 있다. - Destination에는 공격 대상의 IP가 나와 있다. - info 부분을 보면 SYN 패킷이 연속적으로 늘어 난 것을 볼 수 있다. 이로 인해 SYN Flooding 공격이 실시되고 있는 것을 알 수 있다.

30 (2) SYN Flooding SYN Flooding 실습

31 (3) Boink, Bonk 및 Teardrop
프로토콜은 신뢰성을 확보하고자 신뢰성이 이루어지지 않은 연결에 대해 반복적인 재요 구와 수정을 하게 됨 Boink, Bonk 및 Teardrop는 공격 대상에 프로 토콜이 반복적인 재 요구와 수정을 계속하게 함으로써 시스템의 자원을 고갈시키는 공격.

32 (3) Boink, Bonk 및 Teardrop
-패킷 전송 방식의 조립과정을 방해하는 공격 기법 -생성-> 전달-> 조립 (Sequence number) -seq를 중복해서 보내는 방법

33 (3) Boink, Bonk 및 Teardrop
패킷을 겹치게 또는 일정한 간격의 데이터가 빠지게 전송한다.

34 (3) Boink, Bonk 및 Teardrop
<< Newtear 컴파일 및 공격 실행 화면 (공격 횟수 : 100번) >>

35 (3) Boink, Bonk 및 Teardrop
<< Newtear 컴파일 및 공격 실행 화면 (공격 횟수 : 10000번) >>

36 (3) Boink, Bonk 및 Teardrop
공격 대상 컴퓨터에서 "Ethereal - Network Protocol Analyzer"을 이용하여 패킷 캡쳐 - Source에는 공격자의 IP 번호가 나와 있다. - Destination에는 공격 대상의 IP가 나와 있다. - info를 보면 알 수 있듯이 모든 패킷이 동일한 아이디와 크기, 시퀀스 넘버를 가지고 있는 중첩 공격임을 알 수 있다.

37 (3) Boink, Bonk 및 Teardrop

38 (4) Land 패킷을 전송할 때 출발지 IP 주소와 목적지 IP 주소 값을 공격대상의 IP 주소 값과 똑같이 만들어서 공격 대상에게 보냄 시스템은 Reply 패킷을 출발지 IP 주소 값을 참조하여 그 값을 목적지 IP 주소 값으로 설정하여 패킷을보냄 하지만 이 값은 자신의 IP 주소 값이므로 네트워크 밖으 로 나가지 않고 자기자신에게 다시 돌아온다.  이 공격은 SYN Flooding처럼 동시 사용자 수를 점유해버 리며,  CPU 부하까지 올리게 된다.

39 (4) Land - 출발지 IP 주소와 목적지 IP 주소 값이 같은 것을 알 수 있다.

40 (4) Land Land 실습

41 (5) Win Nuke (OOB, Out of Band)
개인용 컴퓨터, 윈도우를 작동불능으로 만들기 위해 쓰임. Nuking이라고 함. 윈도우의 ‘죽음의 푸른 화면’이라고 불리는 파란 화면이 뜨도록 하는 공격. 139번 포트를 스캔 하여 열려 있는지 확인하고 패킷을 전송하면 공격대상은 수많은 Urgent 패킷을 인식하고 모든 시스템의 세션을 닫은 뒤 재 연결을 요구하게 되는데 이때 CPU에 과부하가 걸리게 된다. 심한 경우 시스템이 망가지기도 함.

42 (5) Win Nuke (OOB, Out of Band)

43 (5) Win Nuke (OOB, Out of Band)

44 (5) Win Nuke (OOB, Out of Band)

45 (6) Smurf와 Fraggle IP와 ICMP의 특징 이용 ICMP의 패킷을 이용하여 공격

46 (6) Smurf와 Fraggle Smurf와 Fraggle 실습

47 (7) Mail Bomb - 흔히 폭탄 메일이라 함. - 스팸메일도 일종의 Mail Bomb.
- 흔히 폭탄 메일이라 함. - 스팸메일도 일종의 Mail Bomb. - 메일이 폭주하여 디스크 공간을 가득 채우면 정작 받아야 할 메일을 받을 수 없게 된다. 이런 이유로 일종의 DoS 공격이 될 수 있다. - 공격은 툴을 사용해도 되며, 메일 서버를 만들 어 익명 또는 임의의 이름으로 메일을 보냄.

48 (7) Mail Bomb Mail Bomb 실습

49 2. DoS 공격 보안대책 - 여분의 장비 설치하고 튼튼하게 설계되어 있다면 서비스 거부 공격을 이겨낼 수 있다.
효율적이고 robust한 설계 대역폭 제한 시스템의 패치 적용 최소한의 서비스 제공 필요 트래픽만 허용 IP주소 차단 - 여분의 장비 설치하고 튼튼하게 설계되어 있다면 서비스 거부 공격을 이겨낼 수 있다. - 복수의 인터넷 회선과 복수의 서버를 두어 한 서버에서 문제가 발생할 경우 모든 트래픽을 다른 서버로 자동 접속하게 하여 동일한 서비스를 제공해서 피해 를 최소화한다. [ DoS 공격 보안대책 ]

50 4. DoS 공격 보안대책 효율적이고 robust한 설계 대역폭 제한 시스템의 패치 적용 최소한의 서비스 제공 필요 트래픽만 허용 IP주소 차단 - DoS 공격은 하나의 프로토콜이 다른 모든 대역폭을 소모한다 이에 대한 대안으로 프로토콜 별로 대역폭을 제한한다. ex) 25번 포트의 사용 가능한 대역폭은 25%, 80번 포트는 50% [ DoS 공격 보안대책 ]

51 4. DoS 공격 보안대책 [ DoS 공격 보안대책 ]
효율적이고 robust한 설계 대역폭 제한 시스템의 패치 적용 최소한의 서비스 제공 필요 트래픽만 허용 IP주소 차단 [ DoS 공격 보안대책 ] - 새로운 Dos 공격 취약성이 발견 되었을 때 vendor는 문제를 규명 하고 패치를 제공한다. - 시스템 관리자는 최신 패치를 확인하고 시스템에 적용시켜 서비스거부 공격을 최소화 시켜야 한다. [ DoS 공격 보안대책 ]

52 4. DoS 공격 보안대책 - 최소한의 서비스만을 제공 하는 것은 모든 공격에 대한 가능성을 최소화시키는 것
효율적이고 robust한 설계 대역폭 제한 시스템의 패치 적용 최소한의 서비스 제공 필요 트래픽만 허용 IP주소 차단 - 최소한의 서비스만을 제공 하는 것은 모든 공격에 대한 가능성을 최소화시키는 것 - 최소한의 권한과 최소한의 서비스는 보안성을 높인다. [ DoS 공격 보안대책 ]

53 4. DoS 공격 보안대책 - 최소한의 서비스 제공과 비슷 - 침입차단시스템과 라우터 등 네트워크 경계에 집중
효율적이고 robust한 설계 대역폭 제한 시스템의 패치 적용 최소한의 서비스 제공 필요 트래픽만 허용 IP주소 차단 - 최소한의 서비스 제공과 비슷 - 침입차단시스템과 라우터 등 네트워크 경계에 집중 - 침입차단시스템은 꼭 필요한 네트워크 트래픽의 출입만 허용하 도록 적절한 필터링이 되어야 함 [ DoS 공격 보안대책 ]

54 4. DoS 공격 보안대책 효율적이고 robust한 설계 대역폭 제한 시스템의 패치 적용 최소한의 서비스 제공 필요 트래픽만 허용 IP주소 차단 - 시스템관리자는 지금 공격 당하는 중임을 알게 된 후 즉각적으로 공격자의 IP주소를 라우터에서 차단해야 함. - IP를 차단해도 라우터까지는 이미 공격자의 트래킥으로 넘쳐나기 때문에 일반사용자는 서비스를 사용하지 못하는 문제가 발생. - 관리자는 즉시 ISP 또는 상위 서비스제공자에게 연락하여 패킷 차단을 요청해야 함. [ DoS 공격 보안대책 ]

55 Q&A 감사합니다.