이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:


작성자 : 미남닷컴

 

안녕하세요 미남닷컴 입니다.

 

정말 오랜만이죠??

 

동안 바빴습니다…. 물론 핑계죠~

어찌됐든 다시 포스팅하게 되어 기쁩니다.

 

 

 

여름에 DDOS.

정말 재미(?) 있었습니다.

많은 사회적 이슈와 기술적 논란, 분석 등등 이번 DDOS사건이 한국 사회 전반적으로

끼친 영향이 대단한 같습니다.

동안 지켜본 결과 대처하시는 분들도 계시고 아직 대응이 부족한 분들도 계신 같습니다.

공격을 차단하고 주소를 리 다이렉트하여 정상적인 서비스를 계속하는 회사가 있는 반면 한동안 서버가 다운되어 접속이 불가능한 곳도 있었습니다.

백신을 바로 배포하여 사용자의 안전을 지키는 회사도 있었고 내가 좀비PC가 됐는지 모르는 체 그냥 이끌려 백신설치하고 검사하는 사용자도 있었습니다.

 

전 포스트에서도 말했지만 관건은 사회 전반에 걸친 서로의 협조와 사용자의 보안의식 속에서 DDOS공격은 무용지물이 될 수 있을 것 같습니다.


공격 패킷을 볼까요.


 

이번 공격의 주된 DDOS 공격 패턴은 다음과 같습니다.

 

Cache-Control: no-store, must-revalidation

 

CC attack 이라고 하는 방법입니다.

한창 이슈가 되어왔던 넷봇의 공격 기능 중 하나입니다.

 

DOSHTTP 툴도 방법을 이용한 공격을 제공합니다.

 

이는 캐쉬를 이용한 공격으로

no-store 캐쉬를 저장하지 않는다는 의미고

보통 클라이언트와 서버는 캐쉬에 대하여 유효 값을 정하는데 값이 만료 경우 revalidation 합니다.

공격은 계속 revalidation 하게 하여 서버에 부하를 줍니다.

CC attack 계속 퍼붓는 것이 아니라 조금씩 계속해서 공격을 합니다.

일반적인 DDOS보다 적은 양으로 DOS 상태에 빠지게 합니다.

만큼 서버에 많은 부하를 주는 것이라고 있는데 정확한 부하량은 서버마다 틀리겠지요

혹시 아시는 분은 리플 달아주시면 감사하겠습니다.

여기서 이번 공격을 만든사람이 얼마나 정교한지 알 수 있습니다.


패킷 중간중간에 UDP, ICMP 플러딩이 섞여 있는데요.
왜???

저는 이렇게 생각 해봅니다.
DDOS장비 중 평소 네트워크 트래픽을 학습하여 TCP, UDP, ICMP 비율이 맞지 않으면 탐지하는 방식을
우회하기 위한 것으로 보입니다.
TCP중간중간에 UDP와 ICMP를 섞은 것이죠..
 

 

아무튼 이번에 포스팅에서 소개할 DDOS 툴은 apache 서버 공격 툴로서 얼마 release 되었습니다.

 

Slowloris 라는 툴입니다.

펄로 작성되었으며 새로운 종류의 DDOS 툴입니다.

 

 

어디서 다운받고 어떻게 사용하는지요?

사용법은 생략하겠습니다.

인터넷 조금만 검색하시면 사용하실 아시리라 믿겠습니다.

 

 

 


공격을
하면 어느정도 패킷이 공격지로 보내진 공격을 멈춥니다.

다시 어느정도 시간이 지나면 다시 공격을 합니다.

계속 공격을 하는 것이 아니라 뛰엄뛰엄 공격을 합니다.

 

 

 

바로 다운됩니다… -_-;

 

공격 툴은 다음과 같은 특징을 가집니다.

 

 

 

세션을 맺은 GET 요청을 보냅니다.

완전하지 않은 요청을 서버로 보냄으로써 open connection 유지하며

서버는 완전한 헤더를 기다립니다.

서버는 connection 많아짐에 따라 DOS 상태에 이르게 됩니다.

 

요청의 헤더는 가장 끝이

|0d0a0d0a| 끝나지 않습니다.

 

 

따라서 탐지를 하기 위해서는 HTTP 헤더의 가장 끝이 |0d0a0d0a| 끝나지 않는 헤더의 패킷이 들어올 경우 일정시간 동안 다음 패킷으로

완전한 헤더내용이 전달되지 않는다면 연결을 끊어야 합니다.

 

 

 

 

추후 공격 패턴이 이슈화 것이라는 예상이 듭니다.

미리 알아놓으면 좋겠지요.

 


공격을 막는 스노트 룰은 다음에서 있습니다.

http://snortrules.wordpress.com



---------------------------------------------------------------------------------------------------
글에 오류가 있거나 수정이 필요하다고 생각 하시면 메일을 보내주세요.
If there are errors or need to be edited, send e-mail.
미남닷컴 (minamdotcom)
kimms@boanin.com
---------------------------------------------------------------------------------------------------

신고
****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 미남닷컴

댓글을 달아 주세요

  1. Favicon of http://boanin.tistory.com BlogIcon John_G 2009.07.20 00:13 신고  댓글주소  수정/삭제  댓글쓰기

    저도 이번에 777 DDoS 에 관한 포스팅 적어 보려고 했지만 미남닷컴님께서 먼저 올려 주셨네요 ^^

    노트북 수리 끝나면 또 다른 주제로 포스팅 준비 해봐야 겠습니다 ^^

    글 잘 읽어 보고 갑니다 ^^

  2. 컴센스 2009.07.21 00:02 신고  댓글주소  수정/삭제  댓글쓰기

    네 저의 회사에서도 이슈가 되어 약 한달전부터 대비 햇었죠
    좋은글 잘일었습니다
    감사합니다

  3. cyber 2009.07.21 16:35 신고  댓글주소  수정/삭제  댓글쓰기

    금번 공격은 단순히 CC Attack 만이 아닌 TCP(HTTP) Flooding, ICMP/ UDP Flooding을 아주 적은 Packet을 생성 하여 공격하는 방식을 사용한 것이라, IPS / DDOS 등에서 효율적으로 방어 하기는 어려움이 있었던 것으로 알고 있읍니다.

    1. Flooding 방어의 어려움
    IPS / DDOS 등의 보안 장비에서 주로 활용하는 Syn Cookie 방식으로 Flooding 공격을 방어 하기 어려웠던
    이유는 일반적인 Flooding 공격이 아닌, 아주 적은 수의 정상적인 Packet임으로 Syn Cookie를 통해 공격자
    의 IP를 점검 해도 정상적으로 반응함

    2. CC Attack의 방어에 따른 문제
    일부에서는 CC를 IPS /DDOS 장비 등에서 쉽게 방어 할 수있었다고, 이야기 하는데 이에 따른 Side
    Effect에 대한 고려는 없었던 것으로 보여집니다. CC는 정상적인 Session을 연경한 상태에서 이루어
    지는 공격임으로 Cache Control 부분을 필터링 하여 방어하여도 서버는 Session을 지속적으로
    유지하고 있어 부하가 지속되며, 중간단의 L4 혹은 방화벽의 Session Table에도 문제를 발생 하게
    합니다.

    어찌 되었던, 금번 DDOS 공격은 네트워크, 보안 관련 업계 및 일반인에게도 보안에 대한 경각심을
    일께워준 계기가 된 것으로 보여지나... 매번 그렇듯이 이번 사건에 대한 관심과 경각심이 얼마나
    지속 될 지 지켜 봐야 할 것 같내요...

  4. Favicon of http://boanin.tistory.com BlogIcon 보안인닷컴 2009.07.21 23:00 신고  댓글주소  수정/삭제  댓글쓰기

    보통 slow attack 이라고 하여 정상적인 세션안에서 다른 공격을 복합적으로 이용하여 공격을 하면서 서버 자원을 고갈 시키는 공격이 있었는데 벌써 지난해부터 대두가 되었습니다. 그리고 공격자가 좀비 pc를 이용하고 상대방 타켓 시스템을 빨리 다운시키고자 너무 성급하게 공격을 하면 일반 pc 성능이 현저하게 떨어지기에 좀비pc가 바로 알아 버리게 됩니다.

    그렇게 됨으로 인하여 공격후 약 15분 정도가 되면 디도스공격 약발이 다 한다고 하겠지요..그런 까닭에 일반 좀비pc 모르게 공격하기 위하여 슬로우 어텍이 나타나 일반 사용자도 모르게 공격 도구로 활용하고 있는 것이죠..

    디도스 공격도 점점 진화 발전하고 있군요,..미남님 잘 읽었습니다..^^

  5. Alex 2013.09.01 16:50 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요.
    디도스 툴은 어디서 구합니까?
    저도 좀 얻었으면 좋겠는데 찾을 수가 없네요. ㅠㅠ
    혹시 가지고 계시는 분 없으신가요?
    메일로 보내주실 수 있으신가요?

    yukeum@hotmail.com

    부탁드릴게요.