1. DDoS 무엇인가요?
(분산 서비스 거부 (DDoS: Distributed Denial of Service) 공격)
DDoS 공격이란 Distribute Denial of Service (Attack)의 약자로, 흔히 “분산 서비스거부 공격”이라고도 부릅니다. 해커가 여러 대의 감염된 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하고 정상적인 서비스를 불가능하게 만든 공격이라고 할 수 있겠습니다.
특정 사이트 서비스를 공격하기 위해 해커가 공격을 위한 도구들을 여러 컴퓨터에 미리 심어놓고 특정사이트 서비스가 운영되고 있는 컴퓨터 시스템이 한번에 처리할 수 없는 엄청난 분량의 데이터조각을 동시에 전송시키면서 네트워크 성능을 저하시키거나 시스템 리소스사용량을 증가시켜 시스템이 다운되게하거나 마비 되게 만드는 것입니다.
실제로 2009년 7월 7일에 한국에서 발생한 7.7 DDoS 공격의 경우, 한국과 미국을 포함하여 공공기관, 포털, 개인 사이트 등 다수 사이트들이 공격을 받아 마비되었고, 공격을 마무리한 후 사용자PC의 디스크를 파괴하기도 하여 우리에게 많은 충격을 주기도 했습니다.
최근에는 웜을 포함한 많은 악성코드에 DDoS 공격을 시도하는 기능이 함께 내장되는 경우가 종종 발견되고 있습니다. 왜 이렇게 DDoS 공격이 이슈가 되고 많은 공격시도가 일어나고 있는 것일까요? 그 이유로는 여러 가지가 있겠지만 주로 금전적인 이득을 목적으로 하는 경우가 많습니다.
해커는 주로 인터넷을 통해 수익을 얻고 있는 웹사이트나 서비스를 상대로 ‘DDoS 공격을 통해 사이트의 서비스가 정상적으로 운영되지 못하게 하겠다’라고 협박하고 사이트/서비스 운영자로부터 돈을 받아냅니다. 해커의 목표가 된 웹사이트/서비스의 운영자 입장에서는 DDoS 공격을 받게 된다면 서비스가 정상적으로 이뤄지지 않아 많은 금전적인 피해와 함께 운영하는 서비스의 신뢰성에 커다란 피해를 입게 되기 때문에 해커의 제안에 끌려갈 수 밖에 없는 입장이 되기 쉽습니다.
2. DDoS 공격 방법 및 종류
1) TCP SYN Flooding Attack
TCP 3-Way Handshake의 취약점을 이용한 공격으로 TCP 연결 자원(Backlog Queue)를 소진시켜 외부로부터 더이상 TCP 연결 요청을 받을 수 없도록 하는 공격
2) HTTP GET Flooding
웹 서버에 동일한 동적 컨텐츠에 대한 HTTP GET 요청을 다량으로 발생시켜 공격대상 웹서버에 부하를 유발하는 공격
3) Hash Dos 공격
웹 서버는 클라이어트의 HTTP 요청과 함께 전달되는 파라미터를 Hash 테이블에 저장한다.
공격자는 이를 이용하여 조작된 수 많은 파라미터 값을 POST 방식으로 웹서버로 전달하여 웹 서버에 다수의 해시 충돌(HASH Collision) 발생 및 많은 CPU 자원을 소모하도록 한다.
4) Slow HTTP Header DoS(Slowloris) 공격
HTTP 요청 메세지의 개행은 CRLF을 의미하는 것으로 16진수로 0x0d0a로 표현한다. HTTP 헤더에서 이러한 개행이 2번 연속 발생하면 헤더의 끝으로 인식하는데, 이는 다시 말해 개행이 2번 연속으로 발생하지 않으면 헤더가 끝나지 않는것으 인식.
공격자는 이 점을 이용하여 개행을 연속 2번 전달하지 않고 천천히 불필요한 헤더 필드 정보를 계속 전달하면서 웹 서버의 연결 자원을 유지시킨다. 이와 같은 방식으로 다수의 연결을 생성하면 웹 서버는 더 이상 연결 자원이 없어 정상적인 연결 요청을 받을 수 없는 상태에 도달하여 제기능을 못하게 된다.
5) Slow HTTP POST DoS(RUDY) 공격
공격자는 Content-Length에 엄청 큰 값을 넣어서 전달, 지속적으로 웹서버에 대량 연결을 요청하면 서버는 정상적인 연결요청을 받을수 없는 상태됨.
6) DRDoS 공격 (Distributed Reflection Denial of Service Attack, 분산 반사 서비스 거부 공격)
서비스 거부 공격 중의 하나로 DDoS (Distributed Denial of Service) 보다 한층 발전된 기술이다. 이 기술의 근간은 IP Spoofing으로, Internet Protocol의 약점과 서버들의 응답성을 악용한 공격
3. PC를 좀비PC가 되지 않도록 예방하는 방법??
내 PC가 DDoS 공격에 활용되는 좀비PC가 되는 것을 막기 위해서는 평소에 OS 보안 패치나 웹브라우저 패치, 그리고 백신을 통한 꾸준한 PC관리가 이뤄져야 합니다. 더불어, DDoS 공격의 특성상 일단 공격이 시작되면 대응하기가 쉽지 않으므로 사전 예방이 중요합니다.
간단하게 내 컴퓨터가 DDoS에 감염되었는지 진단하는 방법을 익히는 것도 매우 좋습니다.
우선, 자신의 컴퓨터가 방화벽을 설정해도 계속 비활성화 되거나, 내가 열어보지 않은 다수 사이트들이 열어본 페이지 목록 등록 또는 컴퓨터 시작 시 무언가 자동 실행되는 것 같다면 좀비PC가 되어있을 가능성이 높습니다. 또한 내 컴퓨터의 진행속도가 전보다 현저히 떨어지거나 컴퓨터가 자꾸 내가 수행하지 않은 다른 업무를 처리하는 것 같을 때도 역시 좀비PC가 되어있을 가능성이 높다고 볼 수 있습니다. 이미 좀비PC가 되어있다면 최신버전으로 업데이트된 백신을 이용하여 치료하세요.
이 외에도 보안업체에서 제공하는 전용백신을 이용하여 치료하는 방법이 있습니다.
알약도 주요보안침해사고가 발생할 경우 많은 PC사용자들을 위해 전용백신을 무상으로 배포하고 있습니다. 개인사용자는 물론 알약 라이선스를 구매하지 않은 기업/기관 고객들도 아무런 제한없이 전용백신을 통한 검사와 치료가 가능합니다.
앞으로도 DDoS공격은 더욱 자주 일어날 것으로 보여집니다. 이럴 때를 대비하여 우리 모두가 보안에 좀더 관심을 기울이고 내가 사용하는 PC가 좀비PC가 되지 않도록 잘 관리해야 합니다.
4. 결론
서비스 거부 공격은 오늘날의 사이버 세계에 존재하는 가장 일반적인 공격 유형 중 하나입니다. 인터넷에서 안전하게 탐색하려는 네트워크 관리자(또는 개인)가 기본 유형과 이에 대해 자신을 방어하는 방법에 대한 지식을 갖는 것도 매우 중요합니다. 모든 방어 기술 외에도 사이버 보안 분야의 전문가를 고용하여 안전을 확보할 수도 있습니다. 무엇보다도 핵심은 이러한 ddos 공격으로부터 중요 자산을 보호하는데 지속적으로 기술을 습득하고 비용적인 투자를 아끼지 말아야 하는 것입니다.
일부 내용 참조: 이스트시큐리티 블로그
https://www.estsecurity.com/enterprise/security-info/common-sense?page=15&q=&category-id=#
보안개론 글 더보기