DDOS (디도스)

해커들이 주로 사용하는 공격 기법중 하나인 DDOS에 대해서 다뤄보려고 한다.

 

나무위키에서는 디도스를 

분산 서비스 거부 공격이라고 한다.

https://namu.wiki/w/%EB%B6%84%EC%82%B0%20%EC%84%9C%EB%B9%84%EC%8A%A4%20%EA%B1%B0%EB%B6%80%20%EA%B3%B5%EA%B2%A9

분산 서비스 거부 공격

 

 

그리고 Microsoft에서는 아래와 같이 정의를 한다.

DDoS 공격은 응용 프로그램의 리소스를 소진하려는 시도로 네트워크 서비스를 중단시킴으로써 웹 사이트 및 서버를 공격합니다. 공격자는 비정상 트래픽으로 사이트를 넘치게 하여 웹 사이트 기능을 저하하거나 오프라인 상태로 만듭니다. 이러한 유형의 공격은 증가하고 있습니다. DDoS 공격은 전 세계 모든 업계와 모든 규모의 기업을 표적으로 하는 공격입니다. 특히 게임, 전자상거래, 이동통신과 같은 특정 업계가 표적이 되기 쉽습니다. DDoS 공격은 가장 흔한 사이버 위협 중 하나이며, 비즈니스, 온라인 보안 및 이미지에 큰 타격을 줄 수 있습니다.

 

 

공격 원리는 아래와 같다.

1단계.대상 선택

가장 일반적인 DDoS 공격 대상은 다음과 같다.

• 온라인 소매업체. DDoS 공격은 디지털 스토어를 다운시켜 고객이 일정 기간 동안 쇼핑을 할 수 없게 함으로써 소매업체에게 심각한 금전적 피해를 입힐 수 있음
• 클라우드 서비스 제공업체. AWS(Amazon Web Services), Microsoft Azure, Google Cloud Platform과 같은 클라우드 서비스 제공업체는 DDoS 공격의 주요 표적
• 금융 기관. DDoS 공격으로 인해 은행 서비스가 오프라인 상태가 되어 고객이 계정에 액세스하지 못하게 될 수 있음
• 서비스형 소프트웨어(SaaS) 제공업체. 클라우드 서비스 제공업체와 마찬가지로 Salesforce, GitHub, Oracle과 같은 SaaS 제공업체는 해커가 한 번에 여러 조직을 방해할 수 있기 때문에 매력적인 공격 대상
• 게임 회사. DDoS 공격은 서버에 트래픽을 폭증시켜 온라인 게임을 중단시킬 수 있음

2단계. 봇넷 생성

일반적으로 해커가 원격으로 디바이스를 제어할수 있는 멀웨어에 감염된 인터넷 연결 디바이스의 네트워크인 봇넷이 필요하다.

구매 또는 임대를 통해 만들게 된다.

 

3단계. 공격

2단계에서 준비한 본넷에 장치를 연결요청 혹은 기타 패킷을 서비스의 ip주소로 보내도록 명령한다.

그러면서 공격대상의 대역폭을 모두 소모하는 무차별적 대입 공격이 된다.

 

 

공격유형은 다음과 같다.

1. 애플리케이션 계층 공격

2. 볼류 메트릭 공격

3. 프로토콜 공격

4. 다중 벡터 공격

 

그럼 이런 공격들을 어떻게 대비를 해야할까?

아래와 같은 방법들이 존재한다.

1. 건전한 네트워크 모니터링 관행 구현 DDoS 위협을 완화하는 첫 번째 단계는 공격을 받을 시기를 아는 것이다. 이는 네트워크를 시각적으로 실시간으로 모니터링할 수 있는 기술을 구현하는 것을 의미한다. 이상이 있을 때 추적할 수 있도록 사이트에서 평균적으로 사용하는 대역폭의 양을 파악한다. DDoS 공격은 시각적 단서를 제공하며 네트워크의 정상적인 동작을 잘 알고 있으면 이러한 공격을 실시간으로 보다 쉽게 포착할 수 있다. 2. 기본적인 보안 위생을 실천 DDoS 위협에 대한 기본적인 보안 수준을 보장하기 위해 모든 기업이 취할 수 있는 몇 가지 간단한 단계가 있다. 여기에는 복잡한 비밀번호 사용, 2개월마다 비밀번호 재설정 의무화, 메모에 비밀번호를 저장하거나 적어두지 않는 것과 같은 모범 사례가 포함된다. 사소하게 들릴 수 있지만 기본적인 보안 위생을 무시함으로써 얼마나 많은 기업이 피해를 입고 있는지 놀라울 따름이다. 3. 기본 트래픽 임계값 설정 몇 가지 다른 기술 보안 조치를 사용하여 DDoS 공격을 부분적으로 완화할 수 있다. 여기에는 라우터의 속도 제한과 같은 트래픽 임계값 및 제한 설정과 의심스러운 소스의 패킷 필터링이 포함된다. 낮은 SYN, ICMP 및 UDP 플러드 드롭 임계값 설정, IP 백리스팅, 지리적 차단 및 서명 식별은 완화의 첫 번째 수준으로 채택할 수 있는 다른 기술이다. 이것은 시간을 더 벌 수 있는 간단한 단계이지만 DDoS 공격은 지속적으로 정교하게 진화하고 있으므로 이러한 공격을 완전히 저지하려면 다른 전략을 마련해야 한다. 4. 보안 인프라를 최신 상태로 유지 네트워크는 가장 약한 링크만큼 강력하다. 그렇기 때문에 인프라에서 레거시 및 오래된 시스템이 손상되면 공격의 진입점이 될 수 있으므로 이를 인식하는 것이 중요하다. 데이터 센터와 시스템을 최신 상태로 유지하고 웹 애플리케이션 방화벽 및 기타 네트워크 보안 프로그램에 패치를 적용하고 또한 다른 고급 보호 기능을 구현하기 위해 ISP 또는 호스팅 공급자, 보안 및 데이터 센터 공급업체와 협력하는 것도 좋은 방법이다. 5. DDoS 대응 전투 계획을 준비 DDoS 공격이 발생하면 대응에 대해 생각하기에는 너무 늦기에 영향을 최소화할 수 있도록 대응 계획을 미리 준비해야 한다. 대응 계획에는 이상적으로 다음이 포함되어야 한다. - 도구 체크리스트 – 고급 위협 탐지, 평가, 필터링, 소프트웨어 및 하드웨어를 포함하여 구현될 모든 도구 목록 - 대응팀 – 공격이 감지되면 수행할 역할과 책임이 명확하게 정의된 인력 팀 - 에스컬레이션 프로토콜 – 공격 발생 시 누구에게 알리고, 에스컬레이션하고, 관여시킬 것인지에 대한 명확하게 정의된 규칙 - 커뮤니케이션 계획 – ISP, 벤더 및 고객을 포함한 내부 및 외부 이해 관계자에게 연락하고 실시간으로 뉴스를 전달하는 방법에 대한 전략 6. 충분한 서버 용량 확보 볼류메트릭 DDoS 공격은 네트워크 대역폭을 압도하는 방식으로 작동하므로 이에 대응하는 한 가지 방법은 대역폭을 과도하게 프로비저닝하는 것이다. 따라서 대역폭을 추가하여 서버 용량이 과도한 트래픽 스파이크를 처리할 수 있도록 하여 DDoS 공격으로 인한 갑작스럽고 예기치 않은 트래픽 급증에 대비할 수 있다. 이렇게 하면 DDoS 공격을 완전히 막을 수는 없지만 리소스가 소진되기 전에 다른 방어를 준비할 수 있는 몇 분의 추가 시간이 주어진다. 7. 클라우드 기반 DDoS 보호 솔루션 살펴보기 DDoS 완화 전략의 일환으로 클라우드 기반 DDoS 보호 솔루션을 탐색하는 것도 현명한 방법이다. 클라우드는 사설 네트워크에 비해 더 많은 대역폭과 리소스를 제공한다. 클라우드 데이터 센터는 악의적인 트래픽을 흡수하여 다른 영역으로 분산시키고 의도한 대상에 도달하지 못하게 할 수 있다. 8. 콘텐츠 전송 네트워크(CDN) 사용 DDoS 공격을 처리하는 효과적인 최신 방법 중 하나는 콘텐츠 전송 네트워크 (CDN)를 사용하는 것이다. DDoS 공격은 호스팅 서버에 과부하를 주어 작동하기 때문에 CDN은 지리적으로 분산되어 있고 사용자와 더 가까운 여러 서버에서 부하를 균등하게 공유함으로써 도움이 될 수 있다. 이렇게 하면 한 서버가 다운되더라도 계속 작동하는 서버가 더 많아진다. CDN은 또한 인증서 관리와 자동 인증서 생성 및 갱신을 제공할 수 있다. 9. 전문적인 DDoS 완화 지원 받기 DNS 공급자 및 CDNetworks와 같은 회사는 필요에 따라 방문자를 다시 라우팅하고, 성능을 모니터링하고, 공격이 발생할 경우 여러 서버에 트래픽을 분산하여 웹 자산을 보호하도록 도울 수 있다.