DDOS attack / 디도스 / ddos / distributed denial of service
DDos(distributed denial of service) 공격
디도스 공격의 목적
- 대상(온라인 리소스)을 느리게 만든다.
- 대상을 응답이 없게 만든다.
3가지 유형의 디도스 공격
- 볼륨 기반 공격
- 대량의 가짜 트래픽을 이용
- 웹 사이트나 서버 등의 리소스의 용량을 초과한다.
- 여기에는 ICMP, UDP, SPF(Spoofed-Packet Flood) 공격 등이 포함
- 측정: 초당 비트 수(Bits Per Second, BPS)로 측정.
- 특정 layer 를 공격
- 프로토콜 또는 네트워크 layer 디도스 공격
- 다수의 패킷을 표적화된 네트워크 인프라와 인프라 관리 툴로 전송
- 공격 방법
- 측정: 초당 패킷 수(Packets Per Second, PPS)로 측정.
- 애플리케이션 layer 공격
- 애플리케이션에 악의적인 요청을 무작위로 전송하여 수행.
- 측정: 초당 요구 수(Requests Per Second, RPS)로 측정.
대규모 공격 예
- 2016년 10월, 인터넷 인프라 서비스 제공 기업인 딘 DNS(현 오라클DYN)
- DNS 쿼리를 수천만 개의 IP 주소로부터 받았다.
- 이로 인해 시스템이 마비됐다.
- 이 공격은 미라이 봇넷을 통해 수행됐다.
- IP 카메라와 프린터를 포함하여 10만 개 이상의 IoT 기기를 감염시킨 것으로 보도
- 최고조일 때 미라이는 40만 개의 봇에 달했다.
- 아마존, 넷플릭스, 레딧, 스포티파이, 텀블러, 트위터 등의 서비스가 마비.
- 2018년 초, 2월 28일, github
- 초당 1.35TB의 트래픽
- 기트허브는 간헐적으로 차단
- 20분 만에 해당 공격을 물리쳤다.
- 해당 공격에 사용된 기술에 관한 분석
- MemCached 를 사용하는 서버를 이용.
- 작은 get 으로 큰 사이즈의 response를 가져다 준다.
- 요청자의 ip address 를 변경해서 요청하면, 특정 ip address 로 대량의 response 가 가게 된다.
봇넷을 활용한 공격
- 깃허브 이후, 미국의 한 service provider 에 대한 미라이 봇 공격
- MemCached 기반 공격
- 초당 1.7TB 공격
- 취약한 IoT 기기를 활용.
- 아카마이, 클라우드플레어, 플래시포인트, 구글, 리스크IQ, 팀 사임루 내부의 보안팀들이 수행한 조사에서 유사한 규모의 와이어X라는 봇넷이 발견
- 100개국에서 해킹된 10만 개의 안드로이드 기기로 구성
- 토리
- 일련의 IoT 기기를 장악할 수 있으며 미라이보다 더욱 일관되고 위험한 것으로 여겨지고 있다.
- 데몬봇
- 하둡 클러스터를 장악하여 더 큰 연산 능력을 얻는다.
- 0x-booter 같은 새로운 디도스 실행 플랫폼의 등장
- 미라이의 변종인 “부시도(Bushido) 악성코드”에 감염된 약 1만 6,000개의 IoT 기기를 이용
디도스 트렌드
- 봇넷의 임대
- 디도스 공격자는 봇넷에 의존
- 이런 봇넷을 임대해서 사용
- APDoS(Advanced Persistent Denial-of-Service)
- 단일 공격 안에서 다수의 공격 벡터를 사용하는 APDoS(Advanced Persistent Denial-of-Service)
- 포함하는 공격
- 데이터베이스
- 애플리케이션
- 서버에 대한 직접적인 공격 등 애플리케이션 계층이 포함
- ISP 와 클라우드를 타겟으로
- 피해자를 직접 표적으로 삼지 않는 대신에 그들이 의존하는 ISP와 클라우드 제공자 등의 조직을 표적으로 삼는 경우가 많다.
- 자사와 협업하는 여러 비즈니스 파트너, 벤더, 공급자에 대한 공격도 우려
github 의 ddos 공격 자료
References
- 디도스 공격은 어떻게 발전하고 있나 - CIO Korea
댓글 없음:
댓글 쓰기