이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:


작성자 : 미남닷컴

 

안녕하세요 미남닷컴 입니다.

 

정말 오랜만이죠??

 

동안 바빴습니다…. 물론 핑계죠~

어찌됐든 다시 포스팅하게 되어 기쁩니다.

 

 

 

여름에 DDOS.

정말 재미(?) 있었습니다.

많은 사회적 이슈와 기술적 논란, 분석 등등 이번 DDOS사건이 한국 사회 전반적으로

끼친 영향이 대단한 같습니다.

동안 지켜본 결과 대처하시는 분들도 계시고 아직 대응이 부족한 분들도 계신 같습니다.

공격을 차단하고 주소를 리 다이렉트하여 정상적인 서비스를 계속하는 회사가 있는 반면 한동안 서버가 다운되어 접속이 불가능한 곳도 있었습니다.

백신을 바로 배포하여 사용자의 안전을 지키는 회사도 있었고 내가 좀비PC가 됐는지 모르는 체 그냥 이끌려 백신설치하고 검사하는 사용자도 있었습니다.

 

전 포스트에서도 말했지만 관건은 사회 전반에 걸친 서로의 협조와 사용자의 보안의식 속에서 DDOS공격은 무용지물이 될 수 있을 것 같습니다.


공격 패킷을 볼까요.


 

이번 공격의 주된 DDOS 공격 패턴은 다음과 같습니다.

 

Cache-Control: no-store, must-revalidation

 

CC attack 이라고 하는 방법입니다.

한창 이슈가 되어왔던 넷봇의 공격 기능 중 하나입니다.

 

DOSHTTP 툴도 방법을 이용한 공격을 제공합니다.

 

이는 캐쉬를 이용한 공격으로

no-store 캐쉬를 저장하지 않는다는 의미고

보통 클라이언트와 서버는 캐쉬에 대하여 유효 값을 정하는데 값이 만료 경우 revalidation 합니다.

공격은 계속 revalidation 하게 하여 서버에 부하를 줍니다.

CC attack 계속 퍼붓는 것이 아니라 조금씩 계속해서 공격을 합니다.

일반적인 DDOS보다 적은 양으로 DOS 상태에 빠지게 합니다.

만큼 서버에 많은 부하를 주는 것이라고 있는데 정확한 부하량은 서버마다 틀리겠지요

혹시 아시는 분은 리플 달아주시면 감사하겠습니다.

여기서 이번 공격을 만든사람이 얼마나 정교한지 알 수 있습니다.


패킷 중간중간에 UDP, ICMP 플러딩이 섞여 있는데요.
왜???

저는 이렇게 생각 해봅니다.
DDOS장비 중 평소 네트워크 트래픽을 학습하여 TCP, UDP, ICMP 비율이 맞지 않으면 탐지하는 방식을
우회하기 위한 것으로 보입니다.
TCP중간중간에 UDP와 ICMP를 섞은 것이죠..
 

 

아무튼 이번에 포스팅에서 소개할 DDOS 툴은 apache 서버 공격 툴로서 얼마 release 되었습니다.

 

Slowloris 라는 툴입니다.

펄로 작성되었으며 새로운 종류의 DDOS 툴입니다.

 

 

어디서 다운받고 어떻게 사용하는지요?

사용법은 생략하겠습니다.

인터넷 조금만 검색하시면 사용하실 아시리라 믿겠습니다.

 

 

 


공격을
하면 어느정도 패킷이 공격지로 보내진 공격을 멈춥니다.

다시 어느정도 시간이 지나면 다시 공격을 합니다.

계속 공격을 하는 것이 아니라 뛰엄뛰엄 공격을 합니다.

 

 

 

바로 다운됩니다… -_-;

 

공격 툴은 다음과 같은 특징을 가집니다.

 

 

 

세션을 맺은 GET 요청을 보냅니다.

완전하지 않은 요청을 서버로 보냄으로써 open connection 유지하며

서버는 완전한 헤더를 기다립니다.

서버는 connection 많아짐에 따라 DOS 상태에 이르게 됩니다.

 

요청의 헤더는 가장 끝이

|0d0a0d0a| 끝나지 않습니다.

 

 

따라서 탐지를 하기 위해서는 HTTP 헤더의 가장 끝이 |0d0a0d0a| 끝나지 않는 헤더의 패킷이 들어올 경우 일정시간 동안 다음 패킷으로

완전한 헤더내용이 전달되지 않는다면 연결을 끊어야 합니다.

 

 

 

 

추후 공격 패턴이 이슈화 것이라는 예상이 듭니다.

미리 알아놓으면 좋겠지요.

 


공격을 막는 스노트 룰은 다음에서 있습니다.

http://snortrules.wordpress.com



---------------------------------------------------------------------------------------------------
글에 오류가 있거나 수정이 필요하다고 생각 하시면 메일을 보내주세요.
If there are errors or need to be edited, send e-mail.
미남닷컴 (minamdotcom)
kimms@boanin.com
---------------------------------------------------------------------------------------------------

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 알 수 없는 사용자
,