[컴][네트워크] DDos(distributed denial of service) 공격

DDOS attack / 디도스 / ddos / distributed denial of service

DDos(distributed denial of service) 공격

디도스 공격의 목적

  • 대상(온라인 리소스)을 느리게 만든다.
  • 대상을 응답이 없게 만든다.

3가지 유형의 디도스 공격

  1. 볼륨 기반 공격
    • 대량의 가짜 트래픽을 이용
    • 웹 사이트나 서버 등의 리소스의 용량을 초과한다.
    • 여기에는 ICMP, UDP, SPF(Spoofed-Packet Flood) 공격 등이 포함
    • 측정: 초당 비트 수(Bits Per Second, BPS)로 측정.
  2. 특정 layer 를 공격
    1. 프로토콜 또는 네트워크 layer 디도스 공격
      • 다수의 패킷을 표적화된 네트워크 인프라인프라 관리 툴로 전송
      • 공격 방법
        • SYN 플러드
        • 스머프 디도스 등
      • 측정: 초당 패킷 수(Packets Per Second, PPS)로 측정.
    2. 애플리케이션 layer 공격
      • 애플리케이션에 악의적인 요청을 무작위로 전송하여 수행.
      • 측정: 초당 요구 수(Requests Per Second, RPS)로 측정.

대규모 공격 예

  • 2016년 10월, 인터넷 인프라 서비스 제공 기업인 딘 DNS(현 오라클DYN)
    • DNS 쿼리를 수천만 개의 IP 주소로부터 받았다.
    • 이로 인해 시스템이 마비됐다.
    • 이 공격은 미라이 봇넷을 통해 수행됐다.
    • IP 카메라와 프린터를 포함하여 10만 개 이상의 IoT 기기를 감염시킨 것으로 보도
    • 최고조일 때 미라이는 40만 개의 봇에 달했다.
    • 아마존, 넷플릭스, 레딧, 스포티파이, 텀블러, 트위터 등의 서비스가 마비.
  • 2018년 초, 2월 28일, github
    • 초당 1.35TB의 트래픽
    • 기트허브는 간헐적으로 차단
    • 20분 만에 해당 공격을 물리쳤다.
    • 해당 공격에 사용된 기술에 관한 분석
      • MemCached 를 사용하는 서버를 이용.
      • 작은 get 으로 큰 사이즈의 response를 가져다 준다.
      • 요청자의 ip address 를 변경해서 요청하면, 특정 ip address 로 대량의 response 가 가게 된다.

봇넷을 활용한 공격

  • 깃허브 이후, 미국의 한 service provider 에 대한 미라이 봇 공격
    • MemCached 기반 공격
    • 초당 1.7TB 공격
    • 취약한 IoT 기기를 활용.
  • 아카마이, 클라우드플레어, 플래시포인트, 구글, 리스크IQ, 팀 사임루 내부의 보안팀들이 수행한 조사에서 유사한 규모의 와이어X라는 봇넷이 발견
    • 100개국에서 해킹된 10만 개의 안드로이드 기기로 구성
  • 토리
    • 일련의 IoT 기기를 장악할 수 있으며 미라이보다 더욱 일관되고 위험한 것으로 여겨지고 있다.
  • 데몬봇
    • 하둡 클러스터를 장악하여 더 큰 연산 능력을 얻는다.
  • 0x-booter 같은 새로운 디도스 실행 플랫폼의 등장
    • 미라이의 변종인 “부시도(Bushido) 악성코드”에 감염된 약 1만 6,000개의 IoT 기기를 이용

디도스 트렌드

  • 봇넷의 임대
    • 디도스 공격자는 봇넷에 의존
    • 이런 봇넷을 임대해서 사용
  • APDoS(Advanced Persistent Denial-of-Service)
    • 단일 공격 안에서 다수의 공격 벡터를 사용하는 APDoS(Advanced Persistent Denial-of-Service)
    • 포함하는 공격
      • 데이터베이스
      • 애플리케이션
      • 서버에 대한 직접적인 공격 등 애플리케이션 계층이 포함
  • ISP 와 클라우드를 타겟으로
    • 피해자를 직접 표적으로 삼지 않는 대신에 그들이 의존하는 ISP와 클라우드 제공자 등의 조직을 표적으로 삼는 경우가 많다.
    • 자사와 협업하는 여러 비즈니스 파트너, 벤더, 공급자에 대한 공격도 우려

github 의 ddos 공격 자료

References

  1. 디도스 공격은 어떻게 발전하고 있나 - CIO Korea

댓글 없음:

댓글 쓰기