이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:









 

지금 부터는 IRC BOTNET 대해 알아보고 직접 구성하여 테스트 해보고 방어 하는 법까지 포스팅을 시작해 보겠습니다.

우선 기본적으로 알아야 것들을 집고 넘어 가겠습니다.

 

BOTNET 무언인가?

아시는 분들도 많이 있을 것이고 모르시는 분도 있으리라 생각됩니다.

요즘 많이 이슈화 되고 있는 DOS, DDOS등은 봇넷으로 이루어 집니다.

물론 봇넷의 기능은 여러가지가 있습니다.
그 중 가장 두드러지는 공격은 Deny of Servic (DOS). 입니다.

직역을 하자면 서비스 거부입니다.
웹서버의 서비스 중단,거부
 뿐만 아니라 특정 프로그램의 오류, 악성 스크립트를 이용한 오버플로우 여러가지가 DOS 분류 있습니다.


DDOS
분산 DOS공격으로 여러 곳에서 특정 지역으로의 DOS공격을 뜻합니다.

DDOS 개인에 의해 공격되는 경우도 있습니다.

그러나 차이점은 트래픽양이 차이가 나겠지요.


 

BOT 로봇의 봇으로 이해하시면 됩니다.

개인의 PC 악성 BOT Client 감염이 되어 로봇이 되는 것입니다.

그래서 BOTNET이라는 것은 들로 이루어진 network 뜻합니다.

거대한 봇넷을 조종하는 서버가 C&C 서버라고 불리웁니다.

Command and Control 이란 뜻입니다.

그림을 잠시 보겠습니다.


 

 

 

참조 : http://www.dbguide.net/images/know/tech/081008_fod1.jpg

 

 

그림을 보면 이해가 쉬울 합니다.

 

마스터는 공격자이고 밑으로 C&C 서버들, 그리고 C&C 서버가 통제하는 BOT , 좀비들이 있습니다.

좀비들이 C&C 서버의 명령을 받아, 그전에 마스터에 의해 명령을 받아 특정 공격을 수행하는 형태입니다.

개인 혼자서 DOS공격을 하는 것보다 많은 좀비들이 DDOS공격을 수행하게 된다면 희생자에게는 영향을 끼칠 것입니다.

 

제가 생각하는 바로는 우리나라에는 적어도 천대의 좀비가 존재한다고 생각됩니다.

개인PC, 피시방, 회사 등등..

 

최근 뉴스를 보면 D M I 등등 많은 회사들이 DDOS공격에 피해를 입고 있으며 많은 회사가 DDOS공격을 받고 있으며 협박을 당하고 있습니다.

유독 대한민국에 이런 공격들이 많이 일어날까요?

그것은 인터넷강국이기 때문입니다.

네트워크 인프라가 좋으니 공격을 해도 양은 다른 나라에 비해 뛰어납니다.

기술 발전의 악영향이라고 있을 같습니다.

 

 

그럼 봇넷은 어떻게 통제가 될까요.

봇에 감염된 좀비 컴퓨터들은 끊임없이 C&C서버와 통신하며 명령을 기다립니다.

봇넷은 HTTP, IRC, 백도어 프로그램(넷봇, srat), 기타 여러 포트를 통하여 통제가 됩니다.

우리는 여기서 IRC 통한 봇넷에 대하여 자세하게 알아볼까 합니다.

 

앞으로 크게 다음 단계로 포스팅을 해가겠습니다.

 

IRC 무엇인가?

IRC 직접 해보자.

IRC 서버를 구축해보자.

IRC Client?

IRC Client 소스분석

IRC BOTNET 테스트

어떻게 막을것인가?

 

부족하지만 앞으로 관심을 갖고 읽어주세요 ^^

그럼 다음 포스팅으로~


---------------------------------------------------------------------------------------------------
글에 오류가 있거나 수정이 필요하다고 생각 하시면 메일을 보내주세요.
If there are errors or need to be edited, send e-mail.
미남닷컴 (minamdotcom)
kimms@boanin.com
---------------------------------------------------------------------------------------------------



****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 미남닷컴
TAG ,

댓글을 달아 주세요

  1. Favicon of https://kopil.tistory.com BlogIcon 박코필 2009.04.03 15:11 신고  댓글주소  수정/삭제  댓글쓰기

    봇넷...

    확실하게 정리 할 수 있는 기회였습니다.

    IRC... 기되 됩니다 ^^ ㅋㅋ

  2. 비스 2009.04.03 19:26  댓글주소  수정/삭제  댓글쓰기

    얼마전 KISA 에서 연구성과발표회가 있었는데
    그때 개념을 흘러들었는데 이번에 확실히 하고 가야겠네요

    좋은글 감사하고 다음글 기대하겠습니다.^^

  3. 엔신 2009.04.03 22:46  댓글주소  수정/삭제  댓글쓰기

    Denial of Service가 서비스 중단이라고 보기에는 표현이 부적절한 것 같습니다.
    개인적인 의견이지만 할당받아 사용하는 네트워크 대역폭(Bandwidth)보다 더 과도하게 데이터가 유입될 때 나타나는 네트워크 병목 현상 또는 서버 과부하로 인한 서비스 차질에 대한 설명이 DoS나 DDoS에 적합한 것 같습니다.
    위의 내용도 botnet의 기능(?) 중 하나에 불과할 것이고 봇넷의 명령으로 bot에 감염된 좀비 시스템들이 특정 url에서 악성코드 또는 프로그램을 다운로드하여 실행하여 시스템에 피해를 입히는 것 또한 봇넷의 기능으로 볼 수 있을 것 같습니다.
    botnet의 설명이 DDoS에 치우치는 것 같아 부족하지만 개인적인 의견 적어봅니다.

    • Favicon of https://boanin.tistory.com BlogIcon 보안인닷컴 2009.04.04 07:38 신고  댓글주소  수정/삭제

      소중한 의견 감사합니다. 보통 DDoS 를 서비스거부공격이라고 하는데 사실 용어의 차이는 있지만 실제 거부한다는것은 서버의 의지이기때문에 DDoS공격은 엄밀한 측면에서 자신이 스스로 거부 하는것은 아니겠지요..

      따라서 개인적으로는 서비스방해공격 정도로 의미가 될것이라고 생각이 듭니다..참고하시면 되겠습니다.

    • 엔신 2009.04.04 16:18  댓글주소  수정/삭제

      예..*^^*
      올라오는 좋은 내용 잘보고 있습니다
      앞으로도 잘 보겠습니다~

    • Favicon of https://boanin.tistory.com BlogIcon 미남닷컴 2009.04.04 22:15 신고  댓글주소  수정/삭제

      우선 좋은 의견 감사합니다.
      DOS를 직역하자면 서비스거부이지요. 말씀하신대로 대역폭 고갈에 의한 서비스 거부도 있지만 CC Attack 같은경우는 대역폭을 잡아먹지 않아도 서비스 거부를 시킬 수 있습니다. 서비스 거부는 서비스 중단에 이르고 이것은 서버자신이 일으키는거겠지요. 봇넷은 물론 여러가지 기능을 가집니다. 포스팅은 그중 DOS공격에 중점을 두고 가겠습니다. 나머지 기능이나 공격은 추후에 설명하겠습니다.

  4. Favicon of https://eva1717.tistory.com BlogIcon eva1717 2009.04.04 09:15 신고  댓글주소  수정/삭제  댓글쓰기

    햐.. 봇넷.. 요즘 기업체들이.. DDoS 공격으로 많이 고생한다고.. 언론에 많이 보도되는 것 같은데..
    DDoS의 95%는 봇넷을 이용한 공격인 것 같아요...
    참.. DoS계열 공격들을.. 어떻게 방어해야 할지...
    정상적인 트래픽으로 bandwidth를 잡아 먹어서 정상적인 서비스를 못한다면..
    CAR나 limit으로 어느정도 제한을 한다고 해도..
    음... 깊이 생각을 한번 해보아야 할 꺼 같네요...
    세계의 ISP 업체단에서 부터 PC를 사용하는 사용자 모두 합동하여 보안을 실천하지 않는 이상에는...
    많이 힘들 것 같아요..+ㅁ+;;
    얼마전에 DoS계열의 대책법(?) 비슷한 기술문서를 보았는데... 확실히. 아직까지는 뛰어나게 방어할 수 있는 방법이 없는 것 같아요..
    트래픽을 아무리 visual로 표시를 해서 발생하는지 여부는 판단할 수 있겠지만..
    정상적인 트래픽들을 deny 시키기에는..ㅠ^ㅠ
    포스팅 계획중에서..
    어떻게 막을것인가? --> 이 부분이 상당히 기대가 됩니다...^^
    좋은 포스팅 감사드립니다~! 잘 보았습니다.

    • Favicon of https://boanin.tistory.com BlogIcon 미남닷컴 2009.04.04 22:16 신고  댓글주소  수정/삭제

      솔직히 정답은 없습니다.
      정부, ISP, 각 기관 등 전부 힘을 합쳐야 하겠습니다.
      앞으로 포스팅하면서 서로 의견나눠 볼 수 있었으면 합니다.

  5. Favicon of https://appleosx.tistory.com BlogIcon 후니~☆ 2009.04.06 16:12 신고  댓글주소  수정/삭제  댓글쓰기

    봇넷이 뭔지 정확하게 이해했습니다. ^^
    앞으로 많은 포스팅 부탁드립니다. ^^

  6. Favicon of https://www.extraman.net BlogIcon ^________________^ 2009.04.07 15:39 신고  댓글주소  수정/삭제  댓글쓰기

    앞으로 기대됩니다.~