주)정보보호기술 3.4 DDoS 공격 대응과 향후 전망

Presentation on theme: "주)정보보호기술 3.4 DDoS 공격 대응과 향후 전망"— Presentation transcript:

1 주)정보보호기술 3.4 DDoS 공격 대응과 향후 전망 - 2011.4.22 -
"The Worldwide Best in Threats Management" 3.4 DDoS 공격 대응과 향후 전망

2 목차 3.4 DDoS 분석 및 대응 DDoS? Layer 7 DDoS Others DDoS Application DoS
대응 및 결론 2 / 27

3 목차 3.4 DDoS 분석 및 대응 3 / 27

4 기존 Cache-Control 관련 시그니처로 3월 3일 저녁 공격 징후 탐지
3.4 DDoS 대응 history 3.4 11:00 2차 보고서 작성 및 전달 네트워크 분석 및 시그니처 배포 네트워크 샘플 수집 3.4 10:00 C&C IP정보 배포 및 차단 사내 조사 및 대응방안 전달 3.4 9:00 오전 1차 보고서 작성 및 전달 3.3 18:00 기존 Cache-Control 관련 시그니처로 3월 3일 저녁 공격 징후 탐지 4 / 27

5 DDoS 패킷 분석 DDOS? GET 요청 시 URL은 / 만을 사용 5 / 27
HTTP Cache-Control 헤더를 사용하며 값으로는 no-store, must-revalidate 를 사용 (70%) Proxy-Connection 헤더의 값으로 Keep-Alive 를 사용 (100%) Accept 헤더와 User-Agent헤더의 변경 평균 4초 사이 간격으로 한번씩 요청 5 / 27

6 목차 DDoS? 6 / 27

7 DDOS (Distributed Denial of Service) Attack – 분산 서비스 거부 공격
봇 혹은 악의적인 여러 사용자에 의한 자원고갈, 세션고갈을 위한 대소량 트래픽 전송 공격 종류 : ICMP Flooding, UDP Flooding, TCP SYN Flooding, TCP Flag Flooding, Application Flooding (HTTP Get Flooding 등) 마비 명령하달 명령하달 마비 Internet 사용불능 악성코드유포 DDOS공격 악성코드감염 마비 7 / 27

8 세션 고갈 대역폭고갈 DDOS? DDoS 공격 종류 application Presentation Session
HTTP GET Flooding RUDY XerXes slowloris Random Parameter DDoS 공격 종류 application Presentation Session Transport Network Datalink Physical 세션 고갈 IP/IGMP/ICMP Flooding UDP TCP 대역폭고갈 8 / 27

9 목차 Layer 7 DDoS 9 / 27

10 Layer 7 DDoS slowloris 끝나지 않은 HTTP 헤더로 인한 대기상태 공격 화면 공격 패킷 10 / 27

11 Layer 7 DDoS RUDY (R-U-Dead-Yet)
긴 POST 데이터 길이, 느린 POST 데이터 전송에 대한 대기상태 공격 화면 공격 패킷 11 / 27

12 Layer 7 DDoS XerXes 웹서버 DoS 유발 (정확한 메커니즘 알려지지 않음) 12 / 27
12 / 27

13 Layer 7 DDoS Random parameter
parameter가 포함된 URL을 GET flooding 할 때 parameter값 임의 변화 13 / 27

14 목차 Others DDoS 14 / 27

15 Others DDoS Torrent DDoS
By providing tempered information to the trackers or hosting compromised trackers, it is possible to redirect huge amount of BT traffic to a victim under attack. - Ka Cheung Sia , DDoS Vulnerability Analysis of Bittorrent Protocol 15 / 27

16 SmartPhone DDoS Others DDoS 정식 어플리케이션을 제3자가 수정하여 비정상 경로로 배포 16 / 27
설치시 C&C 서버에 접근 C&C 명령을 받아 SMS 전송 중국에서 발견된 툴로써 다음 주소의 C&C 서버에 의해 SMS 메시지를 전송하는 것으로 보인다. 어플리케이션 코드 중 일부 (시만텍) 16 / 27

17 SmartPhone DDoS Others DDoS 4.7 DDoS 공격 대응 워크숍 – 한국정보보호학회
출저 : 하우리 17 / 27

18 Multicasting Flooding
Others DDoS Multicasting Flooding ① 악의적인 공격자는 MITM 이나 물리적인 접근을 통해 IPTV 네트워크 망에 접근. ② 멀티캐스트 주소로 조작된 UDP 패킷들을 전송. ③ 정상 사용자는 조작된 UDP 패킷들을 받음. 멀티캐스트 플러딩 시나리오 출저 : IPTV 네트워크에서의 IGMP 메시지 조작과 멀티캐스트 플러딩 공격에 대한 분석 및 대응방안, 김무성 18 / 27

19 Multicasting Flooding
Others DDoS Multicasting Flooding 셋탑박스는 125.xxx.xxx.162 IP를 가진 미디어 서버로 부터 스트리밍을 전송 받는 중 공격자의 멀티캐스트 플러딩으로 인해 125.xxx.xxx.163 로 부터의 임의의 UDP 패킷들을 수신. bash# ./udpflood 125.xxx.xxx xxx.xxx xxxx (그림 11) UDP 패킷 플러딩 공격 툴을 이용한 공격 예제 미디어 서버인 125.xxx.xxx.162로부터 전송되는 방송 스트리밍 멀티캐스트 플러딩 공격에 의한 UDP 패킷 전송 출저 : IPTV 네트워크에서의 IGMP 메시지 조작과 멀티캐스트 플러딩 공격에 대한 분석 및 대응방안, 김무성 19 / 27

20 Multicasting Flooding
Others DDoS Multicasting Flooding 조작된 패킷은 정상 패킷과는 대조적으로 일련의 스트링으로 데이터 페이로드가 구성. (a) 정상 패킷 (b) 조작된 패킷 정상적인 패킷과 조작된 UDP 패킷의 데이터 내용 출저 : IPTV 네트워크에서의 IGMP 메시지 조작과 멀티캐스트 플러딩 공격에 대한 분석 및 대응방안, 김무성 20 / 27

21 IPv6 router advertisement(auto configuration) flooding
Others DDoS IPv6 router advertisement(auto configuration) flooding IPv6 ICMPv6 Router Advertisement 패킷 prefix 위조 및 플러딩 그림 : 21 / 27

22 목차 Application DoS 22 / 27

23 Application DoS zip bomb 23 / 27 참조 : http://www.unforgettable.dk/
Application-Level Denial of Service Attacks and Defenses - Bryan Sullivan, Adobe system, codegate 2011 23 / 27

24 Application DoS PCRE DoS 웹서버 혹은 IDS/IPS 장비를 타겟으로 한 데이터전송
<([A-Z][A-Z0-9]*)[^>]*>.*?</\1> <tag>content</tag> <tagxyz>content</tag> ^(\w+)+$ abcdef9 웹서버 혹은 IDS/IPS 장비를 타겟으로 한 데이터전송 24 / 27

25 Application DoS Billion laughs XML 웹서버를 타겟으로 한 데이터전송
A billion laughs attack is a type of denial-of-service (DoS) attack which was, in its original form, aimed specifically at XML parsers, although the term may be applicable to similar subjects as well. - wikipedia <!DOCTYPE root [ <!ENTITY ha "Ha! "> <!ENTITY ha2 "&ha;&ha;"> <!ENTITY ha3 "&ha2;&ha2;"> <!ENTITY ha4 "&ha3;&ha3;"> <!ENTITY ha5 "&ha4;&ha4;"> ... <!ENTITY ha128 "&ha127;&ha127;"> ]> <root>&ha128;</root> XML 웹서버를 타겟으로 한 데이터전송 25 / 27

26 대응 방안 및 결론 Layer 7 DDoS Others DDoS Application Dos 사용자 동적 행위 반영
smartphone, IPTV : 3G, IPTV 망의 보안 메커니즘(IDS/IPS/WIPS 등) 적용 IGMP, multicast flooding : 단말 혹은 서버 인증 적용, 물리적 분리 IPv6 : lifetime 을 0으로 재 router adv. & 탐지 및 차단 (IPv6 full support 필) Application Dos 41.zip, Billion laughs : 사용자 단의 유효성 검사 PCRE : 성능을 고려한 시그니처 생성 및 코딩 26 / 27

27 감사합니다