Dos와 DDos 공격

보내고자 하는 네트워크 목적지 주소를 1로 다 채우면 다이렉트 브로드캐스트라고 합니다.

 

공격자가 172.16.255.255를 보내면 라우터가 172.16 네트워크로 브로드캐스트를 보냅니다.

 

172.16 네트워크 pc들은 icmp request 패킷을 받게 됩니다.

 

그러면 icmp reply를 공격 대상에 마구마구 보냅니다.

 

그러면 공격 대상은 수많은 과부하가 걸리게 됩니다.

 

스머프를 못살게 두는 가가맬을 생각하면 됩니다.

확성기를 가지면 가가맬이 나타났다고 알립니다.

가짜로 확성기를 키면 스머프들이 모두 놀랍니다.

 

많은 icmp 메세지를 보내는 형태로 실습을 진행합시다.

 

에이전트 - 메인 os

공격자 - 우분투

 

icmp 소스 주소를 192.168.0.1로 바꾼 것입니다.

실제로는 192.168.0.100에서 보내고 있는데 192.168.0.1에서 보내지고 있다고 나옵니다.

실제로 네트워크에 부하가 됩니다.

 

 

2개의 Dos 차이를 비교해봅시다.

7 계층 Dos 공격이 가능합니다.

7 계층은 웹 애플리케이션입니다.

 

7 계층 공격의 주요 특징

• 정상적인 TCP/UDP 연결 기반의 공격으로 , 변조된 IP 가 아닌 정상 IP를 이용한 접속 요청 후 공격이 진행되어 정상 사용자의 트래픽과 구분하기가 어려워 탐지가 어려움
• 소량의 트래픽을 이용한 공격으로 오랜 시간에 걸쳐 서서히 공격이 진행되어 탐지가 어려움
• 특정 서비스의 취약점을 이용하여 공격 현재까지는 웹 서비스의 취약점을 이용한 공격이 주를 이루고 있음

1. GET 메시지를 많이 보내는 것입니다.
2. Cache-Control 공격입니다.
   응답을 빨리 해달라는 요청을 서버에 하는데 캐시를 사용하지 말라 부탁하는 것입니다.
   부하를 증가시키는 것입니다.
3. 많은 메시지를 보내는 것입니다.
4. 웹서버도 동시에 연결하는 수가 정해져 있습니다.
   연결을 먹어버리는 것입니다.

웹서버와 연결을 계속 유지하는 공격입니다.

 

post로 서버에 업로드하는데

이후에 보내는 내용을 조금씩 천천히 보내는 것입니다.

 

이때 동안 웹 서버는 연결을 유지할 것입니다.

 

 

DDos에 대해서

공격자가 여러 곳에 분산해서 공격을 가한다는 뜻입니다.

 

 

 

 

 

 

 

Trinoo(트리누)

 

 

TFN(Tribed Flood Network)

icmp 패킷 17바이트의 값을 보고

"마스터와 데몬 사이의 연결이다!"를 확인하고 차단합니다.

 

TFN 2K

더 좋은 버전입니다.

 

실제 공격을 보낼 때 syn, udp, icmp, smurf 공격을 다양하게 사용합니다.

 

데몬의 프로세스 이름을 변경도 합니다.

 

 

악성코드를 이용한 DDos 공격

 

악성코드에 감염된 메일, usb, 서버를 들어갈 때 

내 pc가 감염이 돼서 공격자의 에이전트가 됩니다.

 

 

 

보안대책

방화벽을 잘 설치하자!

 

방화벽은 패킷들을 필터링하는 것입니다.

 

사용하지 않은 포트는 모두 닫습니다. 

 

트러스트는 위조된 ip가 만들어질 수 있기 때문에 사용을 하면 안 됩니다.

 

방화벽만으로 부족하다

 

트래픽이 꽉 차는 걸 막기 위해서 패킷의 바구니를 한정 지어 놓는 것입니다.

내부 네트워크가 어느 한쪽에 트래픽이 쏠리면 여러 노드들로 갈 수 있도록 로드밸런싱을 합니다.

서버 입장에서 백업 서버를 두는 게 안정적입니다.

 

 

내 pc가 에이전트, 마스터로 활용되지 않기 위해서 스캐닝을 한 번씩 해봅시다.

 

특정 프로토콜, 대역폭을 쓰기 때문에 

서비스에서 제한해서 해킹 영향을 최소화합시다.

 

ex) 100 mbps를 보내야 영향을 주는데 50 mbps 밖에 못 온다!