DRDOS

DRDOS

• DRDOS (Distribution Reflective Denial of Service)

• 분산 반사 서비스 거부 공격

• DoS의 Smurf attack 이 DDoS 방식으로 발전한 공격

• 특징

  • Zombie PC를 보유할 필요가 없음 → 반사체(Server List , 지난수업때 re)를 이용 함

  • 공격자 은닉 강화

    공격의 근원지 파악이 어려움 → 공격자 추적이 거의 불가능 함

    IP Spoofing → 공격 데이터의 출발지를 공격대상으로 변조 함

• 공격 원리
  • 공격자가 반사체 List(정상 Server)에 등록된 시스템에 출발지 IP를 공격대상의 IP로 Spoofing한 요청을 전송 함
  • 반사체 시스템은 받은 요청을 정상적인 요청으로 인식하고 응답을 공격대상으로 전달 함
  • 다량의 응답을 받은 공격 대상은 응답을 처리하기 위한 리소스를 소비하여 정상 서비스에 부하를 줌
• 방어
  • ISP에서 출발지 주소가 위/변조된 데이터의 유입을 막아야 함 → Ingress Filtering
  • ICMP 패킷에 의해 DRDoS를 막기 위해 ICMP 패킷을 필터링 함

DDoS 공격 대응

• 공격방식 에 따라 대응이 달라짐
  • bandwidth
  • Low-bandwidth
• 충분한 Bandwidth 확보  DDoS 공격에 어느 정도 대응할 수 있도록 서비스를 위한 평균적인 트래픽보다 많은 트래픽을 처리할 수 있는 회선을 보유해야 함
• 공격 트래픽 모니터링  실시간 모니터링을 통해 정상적인 트래픽의 양을 측정하여 공격에 의해 발생하는 급격한 트래픽을 감 지해야 함
• 공격 대응 전문기관과의 연계  공격을 감지한 경우 전문 대응 기관에 바로 알려 유입 경로를 차단해야 함  관리자의 신속한 대응일 필요한 부분  ISP, IDC등에 요청하여 공격 트래픽이 유입되는 경로를 차단하여 대응 함 ＞ 유입경로 및 공격 성향을 파악을 위해 공격 발생 시 LOG정보를 수사기관에 제공
• DDoS 솔루션 장비 도입 고려  Anti DDoS, L7 Switch 장비를 배치하여 어느 정도의 대비를 함
• 대응 프로세스를 준비  공격을 감지하였을 때 대응 절차를 미리 계획해야

DDoS 공격 대응 프로세스

1. 공격 인지

• incoming traffic volume
• 방화벽, IDS등의 네트워크 장비를 통해 웹서비스 운영 망으로 유입되는 트래픽의 bps와 pps 규모를 확인하여 평시와 비교
• webserver access log
• 웹서버의 접속 로그를 확인하여 비정상 접속 증가여부 확인
• concurrent connection
• 방화벽, IDS등의 네트워크 장비를 통해 웹서버가 연결 유지하고 있는 커넥션 규모를 확인하여 평시와 비교
• incoming traffic sampling capture  웹서비스 운영 망으로 유입되는 트래픽의 일부를 수집하여 분석

2) 공격 유형 파악

• packet dump  tcpdump와 같은 트래픽 캡쳐 툴을 이용하여 incoming traffic 일부를 pcap 형태로 저장
• analysis  tcpdstat : 수집된 트래픽의 프로토콜 종류등에 관한 정보 확인  ngrep, httpry : http header에 관한 정보 확인  argus : concurrent connection에 관한 정보 확인
• scenarios drawn  tcpdstat, tcpdump : 대역폭 소진공격(ex.UDP,ICMP flooding) 여부 판단  ngrep, httpry : DB connection 부하유발 공격(ex. Get flooding)여부 판단  argus : 웹서버 자원(TCP Stack) 부하유발 공격(ex. syn flooding) 여부 판단
• webserver access log  서버 접속로그를 확인하여 접속자의 request page에 대한 통계와 특정 시간동안 발생되는 request 횟수에 대한 통계를 확인

3) 공격 유형에 따른 공격 종류 정의 및 대응

• 대역폭 소진 공격  UDP, ICMP Flooding  웹서버 앞단에 위치한 방화벽이나 상단 라우터(ISP의 협력 필요)에서 해당 프로토콜을 모두 차단하도록 ACL 설정하여 대응 - 대역폭 소진 공격  TCP Flooding  size가 큰 TCP Flooding 공격은 프로토콜 기준으로 차단할 수 없으므로 source ip 별 pps에 대한 임계치 정책을 설정하여 대응 - 웹서버 자원 소모 공격  Syn(Ack/Fin) Flooding  syn flooding 공격은 웹서버 OS의 TCP stack 자원을 소모하는 공격으로서 source ip 별 pps에 대한 임계치 정책을 설정하여 대응하거나 패킷의 헤더를 검사하여 옵션필드가 없는 등의 비정상 패킷을 차단하여 대응

4) 사후 조치

• 공격 시점의 BPS, PPS, CPS 변화 추이 확인  공격 규모를 확인하여 가용성이 침해될 수 있는 지점을 확인하고 정확한 데이터에 따른 차단 정책 업데이트
• 공격 유형 확인  프로토콜에 대한 통계, 패킷 크기에 대한 통계, 요청 형태에 대한 통계를 상세히 확인하여 시간에 따른 공격 유형의 변경 여부 또는 복합공격 여부를 확인하여 차단 정책 업데이트 - HTTP 요청 패킷 형태 확인  특정 시간에 대한 HTTP 요청 count를 확인하여 비정상적인 행위 여부를 규명하고 HTTP header의각 field를 조사하여 HTTP 표준 준수 여부를 확인하여 비정상적일 경우 차단 정책 업데이트
• Zombie PC IP 확보  GET(POST) Flooding 공격이나 Slow header(data) Flooding 공격의 경우 TCP 삼중 연결 완료와 함께 수행되므로 실제 공격 IP를 확보할 수 있으며 대역폭 소진 공격의 경우 공격자는 대부분 source ip를위조하므로 IP 위/변조 여부를 확인하는 절차가 필요

dos 카테고리 내 다른 글 보러가기