Transcript 2005_crypto_tech_DoS

DoS/DDoS의 공격유형과
유형별 방어
경북대학교
통신프로토콜 연구실
윤성식
목차
 서비스 거부(DoS) 공격






정의
공격형태
특징
공격원리
공격유형
유형별 대처방법
 분산 서비스 거부(DDoS) 공격




정의
DoS와의 차이
공격도구 별 특성
대처방법
 결론
서비스 거부 공격
정의
 서비스 거부 (DoS: Denial of Service)공격
공격자의 컴퓨터로부터 표적 시스템과 그 시스
템이 속한 네트웍에 과다한 데이터를 보냄으로
써 대역폭, 프로세스 처리능력, 기타 시스템 자
원을 고갈시킴으로써 정상적인 서비스를 할 수
없도록 하는 행위
공격 형태
 시스템 파괴 공격
 디스크 포멧/ 시스템 삭제
 네트워크 접속 차단
 시스템 과부하 공격
 프로세스, 네트워크 고갈
 디스크 채우기
 네트워크 서비스 거부 공격
 SYN, UDP Flooding
 Smurf, land
특징
① 루트 권한을 획득하는 공격이 아니다.
② 데이터를 파괴하거나, 변조하거나, 훔쳐가는 것을
목적으로 하는 공격이 아니다.
③ 공격의 원인이나 공격자를 추적하기 힘들다.
④ 공격시 이를 해결하기 힘들다.
특징
⑤ 매우 다양한 공격 방법들이 가능하다.
⑥ 공격의 결과는 공격당한 시스템의 구현과 매우 밀
접한 관계를 가지기 때문에 결과 또한 서로 다른 시
스템에 따라 다른 결과를 발생시킬 수 있다.
⑦ 다른 공격을 위한 사전 공격으로 이용될 수 있다.
⑧ 사용자의 실수로 발생할 수도 있다.
공격 원리
 Queueing system
공격 원리
 Queueing system(under attack)
공격 유형 (SYN_Flooding)
 TCP의 Three Way HandShake
공격 유형 (SYN_Flooding)
 TCP의 Three Way HandShake의 취약점
공격 유형 (SYN_Flooding)
 공격에 의한 피해증상
공격 유형 (UDP_Flooding)
 UDP의 IP와 PORT의 노출 이용
공격 유형 (Smurfing)
 ICMP의 특징을 악용
유형별 대처방법
(1) SYN flooding 공격에 대한 대책
① queue를 늘려주는 방법
② 패킷 필터링
③ 방화벽의 설치
유형별 대처방법
(2) TCP 순서 번호 공격에 대한 대책
①
②
③
④
라우터나 방화벽으로 패킷 필터링
보안 패치
주소로 인증하는 것을 차단
올바른 구성 및 운영
유형별 대처방법
(3) ICMP 보안 대책
① 각 사용자들에 대해서 quota를 할당
② 다른 프로세스 종료 후 처리 프로세스 할당
③ 프로세스 종료, 시스템 종료
유형별 대처방법
(4) IP 스푸핑 공격에 대한 대책
① 라우터로 패킷 필터링
② 무작위의 순서 번호 생성
③ 암호화된 순서 번호
④ 로깅(logging)과 경고 기능(altering)을 강화하
여 비정상적인 패킷을 발생시키는지 감시
분산 서비스 거부 공격
정의
 분산 서비스 거부(Distributed Denial of Service)
공격
많은 수의 호스트들에 패킷을 범람시킬 수 있는
DoS공격용 프로그램들이 분산 설치되어 이들이
서로 통합된 형태로 어느 목표 시스템(네트워크)
에 대하여 일제히 데이터 패킷을 범람시켜서 그
표적 시스템(네트워크)의 성능저하 및 시스템
마비를 일으키는 기법
DDoS
DoS / DDoS 의 차이
DoS
DDoS
공격도구별 특성
 DDoS 공격도구별 통신 특성
DDoS공격도구
trinoo
TFN
통신 포트
1524 tcp, 27665 tcp, 27444 tcp, 31335 udp 사용
ICMP ECHO, ICMP ECHO REPLY 사용
Stacheldraht
16660 tcp, 65000 tcp, ICMP ECHO, ICMP ECHO REPLY
사용
TFN2000
통신에 특정 포트가 사용되지는 않고 UDP, ICMP, TCP 등
복합적으로 사용된다. 실행 시에 포트번호가 정해지거나
프로그램에 의해 임의의 포트가 선택되어 진다.
대처방법
① 블랙홀링(BlackHoling): 라우터에서 특정 목적
지(Victim)로 전송되는 모든 트래픽을 차단한
후 블랙홀이라고 하는 일종의 폐기장소로 보내
서 소멸
② 라우터(Router): ACL(Access Control List)을
이용한 필터링
③ 방화벽(Firewall): 악의를 가진 트래픽을 차단
대처방법
④ 침입 탐지 시스템(Intrusion Detecting System):
서비스와는 별도의 차단 시스템을 추가로 사용
⑤ 매뉴얼 반응(Manual Response): 사람이 직접
수작업을 통해 방어
⑥ 로드 밸런싱(Load Balancing): 더욱 용량이 큰
트래픽에 대해서도 처리할 수 있도록 네트워크
의 대역폭 및 성능을 강화
대처방법
⑦ TCP 대신 SCTP 이용: 안정성이 강화된 프로토
콜. Four Way HandShake방식
Endpoint A
Endpoint Z
INIT
INIT-ACK
User
data
can be
attached
COOKIE-ECHO
COOKIE-ACK
Assoc
-iation
is up
결론
 피해의 증가
결론
 우리의 생활에 광범위하게 영향을 미치고 있는
인터넷 의 안전성 확보

국가의 안위와도 관련되는 매우 중요한 분야로 부상
 공격대상이 확대

공격범위 개인 -> 국가의 확대로 피해가 상상을 초월
 창과 방패의 대결인 정보보호


관리자 -> 책임감 있게 보안을 위해 24시간 감시 연구
일반 사용자 -> 정보보안을 인식하고 보안 패치 등의 노
력