이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:

안녕하세요.
최만균 입니다. 오늘은 DRDoS에 대해 이야기해 보도록 하겠습니다.

1. 소개

DRDoS(Distributed Reflection DoS)는 분산 반사 서비스 거부 공격으로 알려져 있습니다.
DDoS가 워낙 유명해서 책이나 인터넷에서 스치듯 봤었던 DRDoS 였습니다.

사실 며칠전 근무하면서 DRDoS 현상과 비슷한 일을 겪게 되면서 DRDoS에 대해 다시 한 번 제대로 알아보는
계기가 되었습니다.

다행히 서비스에 위협이 될 수준의 트래픽은 아니었지만 순간적으로 급증했던 SYN/ACK 패킷 증가는 섬뜻(?)
했습니다.

2. DRDoS란?

이미 위에서 분산 반사 서비스 거부 공격이라고 말씀 드렸지만, 좀 더 자세하게 알아보겠습니다.

보통 일반적인 DDoS와 비교해서 DRDoS의 특징을 정리하게 됩니다.

  • Source IP spoofing(출발지 IP 위조)
  • 공격자 추적 불가
  • 봇 감염 불필요
  • 경유지 서버 목록 활용
공격 트래픽이 수 많은 라우터들과 네트워크 경로를 타고 Victim 서버로 패킷을 전송하기 때문에
공격자 추적이 불가능하다고 알려져 있으며 TCP/IP의 취약점을 이용한 공격이므로 따로 봇넷을 
형성할 필요조차 없습니다.


3. 공격 방법 및 원리

공격 방법은 그리 복잡하거나 어렵지 않습니다.

 1) 공격자는 출발지 IP를 Victim IP로 spoofing 하여  syn 패킷을 공격 경유지 서버로 전송합니다.
 2) syn 패킷을 받은 경유지 서비는 spoofing 된 IP(Victim 서버)로 syn/ack 을 전송 합니다.
 3) Victim 서버는 수 많은 syn/ack를 받고 down

역시 공격은 TCP/IP의 취약한 원리를 이용 합니다. 출발지 IP에 대한 변조, 그리고 경유지 서버에서는 아무런 의심 없이 변조된 IP로 syn/ack를 돌려주면서 공격이 시작 됩니다.

대량의 syn/ack 패킷이 유입되면서 Victim 서버 혹은 Victim 서버단의 라우터(혹은 이미 그 전에)가 대량 패킷 전송에 의한 패킷 유실이 발생하고 경유지 서버는 syn/ack에 대한 ack 패킷(3way handshake의 원리)을 받지 못하면서
재전송(Retransmission)이 발생하며 상황은 더더욱 악화 됩니다.





4. 방어 및 대응

방어와 대응이 DDoS 보다도 어렵고 까다롭다고 알려져 있습니다.
일부 고객과 사용자의 피해를 감수하면서 ISP 또는 기업이 통제할 수 있는 라우터에서 ACL로 차단하는 방법과
공격 대상이 되고 있는 Victim 서버 IP와 port(서비스)를 포기하고 다른 서비스를 살리는 방법이 있습니다.
어느쪽이나 근본적인 방어가 아닌 임시적으로 공격 대상 서비스를 버리고 다른 서비스를 살리는 것에 목적을
두게 됩니다.
DDoS 공격 방법들이 대부분 그렇지만 공격 난이도에 비해 큰 비해를 주는 공격 입니다.

5. 참고사이트

 1)http://xeraph.com/4358296

 2)http://rasoft.tistory.com/20

 3)http://www.chan.pe.kr/zboard/view.php?
   id=tech&page=1&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=hit&desc=asc&no=30

 4)http://blog.naver.com/PostView.nhn?blogId=jkj4817&logNo=90103175670
저작자 표시 비영리 변경 금지
신고
****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 비회원

댓글을 달아 주세요

  1. 사실.... 2011.08.24 18:21 신고  댓글주소  수정/삭제  댓글쓰기

    우리나라가 DRDOS에 대해서 많이 알려지지못해서 그렇지. 피해사례는 2002년 에 미국에 한웹사이트에서

    폭격당했다는데.. 8~9년 전일인데. 우리나라는 공격 피해사례 한차례도 없다는걸보고..

    지금도 DRDOS보다 강력한게 미국이나중국에 나올수있겠구나. 생각하네요//..

    • Favicon of http://cssg.tistory.com BlogIcon mkhouse 2011.08.28 11:52 신고  댓글주소  수정/삭제

      네 저도 미국쪽 사례만 살펴볼 수 있었습니다 한국에 사례가 없는것도 조금 의아했습니다
      근본적인 대책이 없는 것도 큰 문제네요

  2. Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2011.08.27 16:13 신고  댓글주소  수정/삭제  댓글쓰기

    오홍 요즘 SIS 공부하면서 이부분에 대해서 봤는데 이렇게 보니 또 새롭네요 ㅎㅎ

    정말 지능적인 공격이라고 생각되네요 ㅎㅎㅎ

    브로드캐스트 도메인을 좀 더 활용한다면 폭발적인 위력을 발휘할수 있는 공격인거 같아요 ㅎ

  3. Favicon of http://blog.naver.com/bus6719 BlogIcon MISKKS 2011.09.23 23:50 신고  댓글주소  수정/삭제  댓글쓰기

    안녕하세요.

    글 잘보고 갑니다.

    그런데 궁금해서 그런데 drdos 공격하는 프로그램이 있나요?

    인터넷에는 보이지도 않고 ;;

    무슨 프로그램으로 공격하는건지 어떤지 궁금합니다.

    • 파도타기유저 2013.07.14 01:53 신고  댓글주소  수정/삭제

      이분은 참;; 별 배경지식없이 댓글을 다신것같네요.
      보통은 툴키디라고 하죠(순화하여 말하자면 크래킹도구수집가)
      뭐 그런것도 아니고 그저 의문사항일지도 모르겠지만..
      일단 답해드리자면 무슨 공격이든 프로그램을 사용합니다.
      (컴파일언어이든, 스크립트 언어이든, 어떤 언어이던지 간에 그 언어로 프로그래밍한 프로그램)



티스토리 툴바