DDoS

I. 분산 서비스 거부 공격, DDoS(Distributed Denial of Service)의 개요

가. DDoS(Distributed Denial of Service) 의 정의

1)  서비스에 대한 정당한 접근을 방해하거나 차단하고자 네트워크에 분산되어 있는 많은 에이전트를 이용하여 공격대상 서버에 동시에 과도한 서비스 요청을 발생 시키는 공격

2)  DDoS공격은 주로 해커에 의해서 악성코드 제어서버 Bot C&C)를 통해 감염 PC를 관리하고, 수많은 감염 PC에서 동시에 공격 대상 목표에 막대한 트래픽을 유발시킴

나. DDoS 공격의 위험성 및 대응 필요성

 

1)  수많은 컴퓨터 시스템이 운영자도 모르는 사이에 해킹의 숙주로 이용됨

2)  이로 인한 다수의 좀비PC가 존재하게 되고, 불특정 하게 분산되어 있기 때문에 대응방안을 찾기도 힘든 실정

3)  최근 서비스 불능을 이용한 협박, 금품 갈취 등의 인터넷 역기능 현상이 갈수록 심해지고 있음에 따른 대책 마련이 시급하다고 하겠음.

다. DDoS(Distributed Denial of Service) 의 특징

구분	설명
분산공격	-네트워크에 분산되어 분포하는 좀비인 에이전트를 이용하여 공격 -일반 사용자의 컴퓨터에 은닉한 악성코드를 통해서 사용자가 인식 하지 못하는 동안 공격 수행
방어의 어려움	-네트워크에 분산되어 공격함으로써 모든 소스를 차단하기 어려움 -IP를 위조하거나 에이전트를 변경하여 공격함으로써 차단이 어려움
랜섬 공격 (Ransom)	-공격자는 DDoS 공격을 통해서 피해자의 서비스를 마비 시킨 후, 협박을 통해서 공격 중단을 대가로 금전적인 보상을 요구함

 

II. DDoS(Distributed Denial of Service)의 공격원리

가. Dos(Denial of Service) 개념도

 

 

 - 공격자는 DDoS에이전트를 확보하기 위해서 버퍼 오버플로우 등의 공격으로 일반 인터넷 사용자의

 PC에 에이전트를 설치

 - 설치된 에이전트는 마스터에 연결하여 DDoS 공격 도구를 다운도르 받고, 공격명령을 대기함

 - 공격자는 마스터를 통해서 공격 명령을 각 에이전트로 전달하고, 에이전트는 마스터로부터 수신한 공격명령에 따라서

피해자를 공격함

나. DDoS 공격 구성요소

구성요소	설명
공격자(Attacker)	-DDoS 공격을 주도하는 공격자의 컴퓨터를 의미
마스터(Master)	-여러 대의 DoS에이전트의 연결을 관리하는 시스템 -공격자에게 직접 명령을 받아 에이전트에게 명령 전달 실행
에이전트(Agent)	-일반 사용자의 컴퓨터에 은닉하며 마스터에 연결하여 관리되는 악성 코드 -마스터의 명령에 따라 공격대상(Victim)에 직접적으로 공격하는 시스템

다. 에이전트 유포 방식

구분	설명
P2P	정상소프트웨어에 악성코드(에이전트)를 삽입하여 사용자 설치 유도
웝/바이러스	움/바이러스 감염으로 인한 에이전트의 설치
사회공학	이메일 등을 통해서 첨부 형태로 사용자에게 전달후, 설치 유도
홈페이지	취약한 웹서버를 해킹 한 후, 사용자 방문시 악성코드의 자동 설치

 

III. DDoS(Distributed Denial of Service)의 공격 유형 및 공격기술

가. DDoS 공격 유형

분류	특징	유형
Flooding공격	Non-spoofing	SYN, Ack, SYN/ACK, FIN, RST UDP/ICMP/TCP, UDP, ICMP 혼합
	Spoofing
Connection공격	HTTP	HTTP Deamon 개수 이사을 초과시킴
	과다 TCP Connection	Application의 input queue 마비
Application 공격	Application 특성이용	FTP, Time, VoIP, email 공격 DNS, DHCP, SQL, Netbios, RPC공격 캐쉬 콘트롤 공격

나. DDoS 공격 유형에 따른 분석

분류	PPS증가 (PPS Consuming)	웹서비스 지연 (http Flooding)	대용량 트래픽 전송 (BandWidth Consuming)
사용 프로토콜	TCP	HTTP	UDP/ICMP
공격 PC위치	국내/국외	국내/국외	국내
IP변조 여부	변조/실제IP	실제IP	변조/실제IP
공격 유형	64Byte 이하 수십만~수백만 PPS	동일 URL	1Gbyte 수십만 PPS
공격 효과	네트워크, 보안, 서버등의 장비	웹서버 부하발생	회신 대역폭 초과
피해 시스템	공격 대상 시스템 또는 동일 네크워크 상의 모든 시스템	공격 대상시스템	동일 네트워크에서 사용중인 모든 시스템

- PPS (Packet Per Second)

다. DDoS 공격 기술

분류	공격 기술	특징
PPS 증가	Syn Flooding	-IP를 변조 후 다량의 Syn 패킷을 공격 대상 서버로 전송하여 공격받은 서버는 다수의 SYN_RECEIVED 세션 상태 발생 -서버의 CPU 및 Connection 지원의 고갈 유도
	TCO Connection Flooding	-다량의 Syn 패킷을 공격 대상자 서버로 전송하고 공격대상 서버에서 다수의 ESTABLISHED 세션 상태 발생
	TCP Out of State Packet flooding	-다량의 ACK/SYN+ACK/FIN/RST 등의 패킷을 공격 대상 서버로 전송 -일부 네트워크 장비 및 서버의 CPU 부하 발생 및 오작동 발생
웹 서비스 지연	HTTP flooding	-정상적인 HTTP GET 또는 POST를 이용하여 상품조회와 같은 반복적인 요청을 전송 -웹 서버 및 데이터베이스 서버의 CPU 및 Connection 자원 고갈
	CC Attack	-HTTP의 Cache control메시지를 이용하여 Cache 서버를 거치지 않고 직접 웹 서버에 HTTP 요청
대용량 트래픽 전송	UDP/ICMP flooding	-1000~1500 byte 정도의 큰 UDP/ICMP 패킷을 서버로 전송 -공격대상 네트워크의 대역폭을 고갈 시켜 서비스 마비 유도

 

IV. DDoS공격 대응방안 및 모니터링 시스템, 기타 고려사항

가. DDoS 공격 대응방안

구분	방어기술	대응방안
PPS 증가	비정상 IP에 대한 ACL 적용	-RFC1918에서 지정한 비공인 IP 차단 -특정 목적을 가진 IP 차단
	공격 IP 차단	-NULL 라우팅 적용을 통한 트래픽 공격 차단
	SYn Proxy 사용	Syn Proxy/Cookie 기능을 제공하는 보안 장비 및 네트워크 장비 이용(장비 성능 파악 후 적용)
	보안 패치 및 장비 교체	-취약한 네트워크 장비 및 서버에 대한 패치 및 교체
웹 서비스 지연	서버 설정 변경	- 임시 방편임 -KeepAlive로Off로 변경 -MaxClient를 최대 수치로 조정
	웹서버 증설	-서비스를 위한 웹서버의 추가를 통한 부하분산
	공격 IP 차단	-공격 근원지 IP를 방화벽 또는 라우터에서 차단
대용량 트래픽 전송	불필요한 서비스 차단	-가능한 네트워크 최 상단에서 (국제 GW, IDC 라우터)에서 불필요한 UDP 및 ICMP 서비스 차단
	공격자 IP 차단	-임시 방편 임 -NULL 라우팅 적용을 통한 트래픽 공격 차단
	DNS 서버 다중화	-다중 DNS를 운영하여 제3의 등록기관에 DNS를 등록
	DNS 전용회선 준비	-서비스 네트워크 회선과 별도로 우회 할 수 있는 DNS 전용 회선 마련

- 특정 패턴을 가진 DoS 공격과 네트워크 장비, 서버 등의 취약점을 이용한 DoS 공격의 경우에는

 IDS, TMS 등과 같은 모니터링 시스템을 통하여 공격 트래픽에 대한 분석 생성된 패턴을 IPS, L7스위치 등에 적용하여 차단

나. DDoS 모니터링 시스템

분류	모니터링	설명
Netflow FlowScan	IP 프로토콜 분포 모니터링	-공격 징후 및 유형 파악을 목적으로 함 -L3 스위치, 라우터에서 제공하는 모니터링 기능을 이용한 IP프로토콜 별 bps, fps, pps 모니터링
	사용자 별 사용량 모니터링	-특정 서비스 사용량이 평소보다 급증하는 경우 확인
모니터링 시스템	네트워크 현황 분석	-모니터링 시스템을 이용하여, 프로토콜/서비스 별 사용현환 Frame size등에 대한 상세한 모니터링
	임계치 설정	-프로토콜/서비스별/대역폭별/PPS 별 사용량에 대한 임계치를 설정하여 임계치를 초과할 경우 경보 전송
	응답지연시간 측정	-웹서버 응답속도가 현저하게 증가하는 경우 탐지
	패킷 분석	-캡쳐한 패킷을 통하여 패턴을 분석하고 생성된 패턴을 IPS, IDS에 적용하여 탐지 및 차단

다. DDoS 대응 관련 기타 고려 사항

  1) 공격에 대한 사전 준비

 - 모니터링 체계 구축: 공격 징후 및 공격 발생 시, 즉시 인지 및 분석 가능

 - 공격에 대비한 업무 분장을 통한 단일 명령 체계 확립

 - 대외 협력 기관과의 협조 체계 및 비상 연락망 사전 구축

 

 2) 공격 발생시 고려 사항

 - 공격 확산 방지: 대응 방안에 따른 초동 대응을 통해 네트워크 수준으로의 공격 확산 방지

 - ISP/IDC등과의 적극적인 협력: 실시간 정보 공유 및 공동 대응 방안 마련

 - 대외 기관과의 협력을 통해 샘플 확보 및 분석, 백신 업데이트, 봇넷 제거 등을 고려

 

V. DDoS의 기술적 공격 대응 기술 상세

가. Black hole/ Sink hole Routing 방식

Black hole/ Sink hole Routing 방식	설명
	-네트워크에서 차단하고자 하는 Destination IP를 Blackhole 라우팅(NULL0 Routing)으로 처리하여 차단 -등록된 IP는 NULL 0라는 가상 인터페이스로 패킷을 포워딩하여 Drop 시킴 -BGP 라우팅 프로토콜을 활용하여 블랙홀 서버와 각 라우터간 iBGP를 설정하여 특정 목적지로 가는 트래픽 차단할 필요성이 발생할 경우 모든 라우터에 동시에 적 용 가능 -운영 관점에서 대단히 편리한 방법임.
장점	단점
-공격 목표를 향하는 모든 트래픽을 라우팅 기반의Drop 처리를 통해 손쉽게 구현 가능	- 모든 공격목표로 향하는 트래픽이 Null Routing이 되므로 서비스 불가 - 일반 기업 및 중요 컨텐츠 서비스 제공자 입장에서는 사용 불가능한 구조 - Black hole Trigger 구성을 위한 전문 지식 필요

 

나. Packet Filtering 기술(ACL)

Black hole/ Sink hole Routing 방식	설명
	-일반적으로 Core Router/Backbone Switch에서 주로 사용되는 기술
	장점
	-대규모 UDP 공격이나, 명확한 DDoS 공격일 경우 유용하게 차단 할 수 있음
	단점
	-정교한 방어가 불가능하므로 TCP 공격에는 매우 취약함 - Source IP 대규모 변조 시 방어 하기가 사실상 어려움 - 공격 목표가 되는 피해 시스템 Filtering 할 경우 피해 시스템은 서비스가 정지됨 -엄청난 Management Overhead 발생

 

다. DDoS의 탐지 장비 이용 대응기술

구성	내용
아웃 오브 패스 (Out-of-Pass) 방식	-물리적 회선 구성 바깥 쪽에 탐지 및 제어 장비를 위치 -하나의 장비로 탐지, 방어가 가능 -대용량 N/W에 적당. 장애 시에도 비즈니스 연속성 높고, 오탐율 낮음
	-여러 회선으로 구축한 곳도 하나의 장비로 탐지 및 방어가 가능하여 경제적, 대용량 네트워크에 적당 장애 시에도 비즈니스 영속 율 높고 오탐률 낮음
인라인(In_line) 방식	-기존 물리적 회선 가운데 설치 -공격이 없을 경우도 항상 트래픽이 지나감 -회선 수만큼 설치해야 함 (소규모 방어 방식)

 

VI. Anti-DDoS 솔루션 구성 및 구축 시 고려사항

가. Anti-DDoS 솔루션 구성

 

 

-   네트워크 행위 분석 기반(Network behavior Analysis)의 DDoS 공격 대응 전용 시스템 도입

-   시그너처 기반의 비정상 패킷 차단, 행위 기반의 DDoS 차단과 사용자 정의 규칙(Rule)에 의한 DDoS 차단 기능을 제공함

나. Anti-DDoS 솔루션 구축 시 고려 사항

-   학습기반 시스템의 경우, 모의 환경에서 정확한 시험 결과 측정이 어려움

-   일부 시스템의 경우, 특정 공격 발생시 시스템의 CPU와 메모리 부하 발생으로 인하여 정상적인 성능을 제공하지 못함

-   Bypass Switch의 구성을 통한 장비 장애 시 웹 서비스의 연속성 확보가 필요함

-   DDoS대응 시스템 운영 시, 초기 도입 인프라에 적합한 임계치 설정, 차단 시간 등의 커스터마이징 작업이 필요함

-   장비 구축과 함께 공격에 대비한 업무 분장을 통한 단일 명령 체계를 확립하고 대외 협력 기관과의 협조 체제 및 비상연락망 사전 구축이 필요함                                               “끝”