이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:

안녕하세요.
최만균 입니다. 오늘은 DRDoS에 대해 이야기해 보도록 하겠습니다.

1. 소개

DRDoS(Distributed Reflection DoS)는 분산 반사 서비스 거부 공격으로 알려져 있습니다.
DDoS가 워낙 유명해서 책이나 인터넷에서 스치듯 봤었던 DRDoS 였습니다.

사실 며칠전 근무하면서 DRDoS 현상과 비슷한 일을 겪게 되면서 DRDoS에 대해 다시 한 번 제대로 알아보는
계기가 되었습니다.

다행히 서비스에 위협이 될 수준의 트래픽은 아니었지만 순간적으로 급증했던 SYN/ACK 패킷 증가는 섬뜻(?)
했습니다.

2. DRDoS란?

이미 위에서 분산 반사 서비스 거부 공격이라고 말씀 드렸지만, 좀 더 자세하게 알아보겠습니다.

보통 일반적인 DDoS와 비교해서 DRDoS의 특징을 정리하게 됩니다.

  • Source IP spoofing(출발지 IP 위조)
  • 공격자 추적 불가
  • 봇 감염 불필요
  • 경유지 서버 목록 활용
공격 트래픽이 수 많은 라우터들과 네트워크 경로를 타고 Victim 서버로 패킷을 전송하기 때문에
공격자 추적이 불가능하다고 알려져 있으며 TCP/IP의 취약점을 이용한 공격이므로 따로 봇넷을 
형성할 필요조차 없습니다.


3. 공격 방법 및 원리

공격 방법은 그리 복잡하거나 어렵지 않습니다.

 1) 공격자는 출발지 IP를 Victim IP로 spoofing 하여  syn 패킷을 공격 경유지 서버로 전송합니다.
 2) syn 패킷을 받은 경유지 서비는 spoofing 된 IP(Victim 서버)로 syn/ack 을 전송 합니다.
 3) Victim 서버는 수 많은 syn/ack를 받고 down

역시 공격은 TCP/IP의 취약한 원리를 이용 합니다. 출발지 IP에 대한 변조, 그리고 경유지 서버에서는 아무런 의심 없이 변조된 IP로 syn/ack를 돌려주면서 공격이 시작 됩니다.

대량의 syn/ack 패킷이 유입되면서 Victim 서버 혹은 Victim 서버단의 라우터(혹은 이미 그 전에)가 대량 패킷 전송에 의한 패킷 유실이 발생하고 경유지 서버는 syn/ack에 대한 ack 패킷(3way handshake의 원리)을 받지 못하면서
재전송(Retransmission)이 발생하며 상황은 더더욱 악화 됩니다.





4. 방어 및 대응

방어와 대응이 DDoS 보다도 어렵고 까다롭다고 알려져 있습니다.
일부 고객과 사용자의 피해를 감수하면서 ISP 또는 기업이 통제할 수 있는 라우터에서 ACL로 차단하는 방법과
공격 대상이 되고 있는 Victim 서버 IP와 port(서비스)를 포기하고 다른 서비스를 살리는 방법이 있습니다.
어느쪽이나 근본적인 방어가 아닌 임시적으로 공격 대상 서비스를 버리고 다른 서비스를 살리는 것에 목적을
두게 됩니다.
DDoS 공격 방법들이 대부분 그렇지만 공격 난이도에 비해 큰 비해를 주는 공격 입니다.

5. 참고사이트

 1)http://xeraph.com/4358296

 2)http://rasoft.tistory.com/20

 3)http://www.chan.pe.kr/zboard/view.php?
   id=tech&page=1&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=hit&desc=asc&no=30

 4)http://blog.naver.com/PostView.nhn?blogId=jkj4817&logNo=90103175670
****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 알 수 없는 사용자
,