BOTNET 을 파헤쳐라. (1. 봇넷이란 무엇인가?)

 

지금 부터는 IRC BOTNET에 대해 알아보고 직접 구성하여 테스트 해보고 방어 하는 법까지 포스팅을 시작해 보겠습니다.

우선 기본적으로 알아야 할 것들을 집고 넘어 가겠습니다.

 

BOTNET은 무언인가?

아시는 분들도 많이 있을 것이고 모르시는 분도 있으리라 생각됩니다.

요즘 많이 이슈화 되고 있는 DOS, DDOS등은 봇넷으로 이루어 집니다.

물론 봇넷의 기능은 여러가지가 있습니다.
그 중 가장 두드러지는 공격은 Deny of Servic (DOS). 입니다.

직역을 하자면 서비스 거부입니다.
웹서버의 서비스 중단,거부 뿐만 아니라 특정 프로그램의 오류, 악성 스크립트를 이용한 오버플로우 등 여러가지가 DOS로 분류 될 수 있습니다.

DDOS는 분산 DOS공격으로 여러 곳에서 특정 지역으로의 DOS공격을 뜻합니다.

DDOS는 한 개인에 의해 공격되는 경우도 있습니다.

그러나 차이점은 트래픽양이 차이가 나겠지요.

 

BOT은 로봇의 봇으로 이해하시면 됩니다.

개인의 PC가 악성 BOT Client에 감염이 되어 로봇이 되는 것입니다.

그래서 BOTNET이라는 것은 이 봇 들로 이루어진 network를 뜻합니다.

이 거대한 봇넷을 조종하는 서버가 C&C 서버라고 불리웁니다.

Command and Control 이란 뜻입니다.

그림을 잠시 보겠습니다.

 

 

 

참조 : http://www.dbguide.net/images/know/tech/081008_fod1.jpg

 

 

위 그림을 보면 더 이해가 쉬울 듯 합니다.

 

봇 마스터는 공격자이고 그 밑으로 C&C 서버들, 그리고 C&C 서버가 통제하는 BOT들 즉, 좀비들이 있습니다.

이 좀비들이 C&C 서버의 명령을 받아, 그전에 봇 마스터에 의해 명령을 받아 특정 공격을 수행하는 형태입니다.

개인 혼자서 DOS공격을 하는 것보다 이 많은 좀비들이 DDOS공격을 수행하게 된다면 희생자에게는 큰 영향을 끼칠 것입니다.

 

제가 생각하는 바로는 우리나라에는 적어도 몇 천대의 좀비가 존재한다고 생각됩니다.

개인PC, 피시방, 회사 등등..

 

최근 뉴스를 보면 D사 M사 I사 등등 많은 회사들이 DDOS공격에 피해를 입고 있으며 많은 회사가 DDOS공격을 받고 있으며 협박을 당하고 있습니다.

왜 유독 대한민국에 이런 공격들이 많이 일어날까요?

그것은 인터넷강국이기 때문입니다.

네트워크 인프라가 좋으니 공격을 해도 그 양은 다른 나라에 비해 뛰어납니다.

기술 발전의 악영향이라고 볼 수 있을 거 같습니다.

 

 

그럼 이 봇넷은 어떻게 통제가 될까요.

봇에 감염된 좀비 컴퓨터들은 끊임없이 C&C서버와 통신하며 명령을 기다립니다.

봇넷은 HTTP, IRC, 백도어 프로그램(넷봇, srat등), 기타 여러 포트를 통하여 통제가 됩니다.

우리는 여기서 IRC를 통한 봇넷에 대하여 자세하게 알아볼까 합니다.

 

앞으로 크게 다음 단계로 포스팅을 해가겠습니다.

 

IRC란 무엇인가?

IRC를 직접 해보자.

IRC 서버를 구축해보자.

IRC Client란?

IRC Client 소스분석

IRC BOTNET 테스트

어떻게 막을것인가?

 

부족하지만 앞으로 관심을 갖고 읽어주세요 ^^

그럼 다음 포스팅으로~


---------------------------------------------------------------------------------------------------
글에 오류가 있거나 수정이 필요하다고 생각 하시면 메일을 보내주세요.
If there are errors or need to be edited, send e-mail.
미남닷컴 (minamdotcom)
kimms@boanin.com
---------------------------------------------------------------------------------------------------