본문으로 이동

서비스 거부 공격

위키백과, 우리 모두의 백과사전.

디도스 공격 다이어그램

서비스 거부 공격(-拒否 攻擊, 영어: denial-of-service attack, DoS attack) 또는 디오에스 공격/도스 공격(DoS attack)은 시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다.[1] 대량의 데이터 패킷을 통신망으로 보내고 특정 서버에 수많은 접속 시도를 하는 등 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함된다. 수단, 동기, 표적은 다양할 수 있지만, 보통 인터넷 사이트 서비스 기능의 일시적 또는 영구적 방해 및 중단을 초래한다. 통상적으로 DoS는 유명한 사이트, 즉 은행, 신용카드 지불 게이트웨이, 또는 심지어 루트 네임 서버를 상대로 이루어진다. 2002년 10월 22일과 2007년 2월 6일의 DNS 루트 서버에 대한 DNS 백본 DDoS 공격은 인터넷 URL 주소 체계를 무력화시킨 인터넷 전체에 대한 공격이었다.

분산 서비스 거부 공격(Distributed DoS attack) 또는 디디오에스 공격/디도스 공격(DDoS attack)은 여러 대의 공격자를 분산적으로 배치해 동시에 서비스 거부 공격을 하는 방법이다. 이는 IAB의 정당한 인터넷 사용 정책에 반하는 것으로 여겨지며 거의 모든 인터넷 서비스 공급자의 허용할 수 있는 사용 정책도 위반한다. 또한 개별 국가의 법률에도 저촉된다.

증상

[편집]

미 컴퓨터 비상 대응 팀에서는 DoS 공격으로 의심할 수 있는 증상을 다음과 같이 설명했다.[2]

  • 비정상적인 네트워크 성능 저하
  • 특정 또는 모든 웹사이트 접근 불가
  • 특정 전자 우편의 급속한 증가

DoS 공격은 공격을 받고 있는 컴퓨터 주위의 다른 컴퓨터에도 문제를 일으킬 수 있다. 예를 들어 인터넷과 지역망을 연결하는 라우터대역폭이 공격으로 소진되면 전체 네트워크에 문제를 일으킬 수 있다.

공격이 충분히 큰 규모로 이루어지면 전체 지역의 인터넷 접속이 영향을 받을 수도 있다.

DoS 공격 기술

[편집]

서비스 거부 공격은 라우터, , 전자 우편, DNS 서버 등 모든 네트워크 장비를 대상으로 이루어질 수 있다.

DoS 공격은 몇가지 방법으로 침투할 수 있다. 다섯 가지 기본 공격 유형은 다음과 같다.

  1. 전산 자원을 소진시킨다.
  2. 구성 정보를 교란한다.
  3. 상태 정보를 교란한다.
  4. 물리적 전산망 요소를 교란한다.
  5. 원래 사용자와 희생물 사이의 통신 매체를 차단한다.

DoS 공격에는 다음과 같은 악성 코드 사용이 포함될 수 있다.

  • 프로세서를 바쁘게 하여 아무 작업도 못하게 한다.
  • 마이크로코드에 오류를 발생시킨다.
  • 순차적 명령어 실행에 오류를 발생시켜서 컴퓨터가 불안정한 상태에 빠지게 하거나 멈추게 한다.
  • 운영체제의 오류를 이용하여 전산 자원을 소진시키거나 투입된 더 많은 자원의 효과를 감소시킨다.
  • 운영체제 자체를 손상시킨다.

ICMP 플러드

[편집]

ICMP는 인터넷 제어 메시지 프로토콜(Internet Control Message Protocol)의 약자이다. 스머프 공격(Smurf attack)이라고도 부르는 이 공격은 공공 인터넷 상에서의 플러드(flood) DoS 공격의 한 변종이다. 네트워크 장치 설정이 잘못되었을 경우, 어떤 특정 전산망의 방송 주소로 전달된 패킷이 망 상의 어떤 특정 컴퓨터가 아니라 망의 모든 컴퓨터에 전달될 수 있다는 점을 이용한다. 전산망은 이 경우 스머프 증폭기의 역할을 한다. 이러한 공격에서 가해자는 대량의 IP 패킷을 보내면서 그 발신 주소를 표적 주소로 한다. 전산망의 대역폭이 신속히 소진되어 정상 패킷이 목적지에 도달하지 못하게 된다. 인터넷 상의 DoS 공격에 대항하기 위해 스머프 증폭기 등록처와 같은 서비스에서 이용될 소지가 있는 잘못 설정된 전산망을 기록, 대응할 수 있도록 하고 있다.

핑 플러드(영어판)는 표적에 압도적인 수의 패킷을 보낸다. 보통 유닉스 계열의 호스트에서 ping 명령을 이용한다. 표적 보다 더 큰 대역폭만 있으면 되기 때문에 쉬운 공격수단이다.

SYN 플러드(영어판)는 TCP/SYN 패킷의 플러드를 보내면서 대개 송신자 주소를 위조한다. (SYN은 SYnchronize Sequence Numbers의 약자로 TCP 패킷 머리 부분의 한 bit) 각각의 패킷은 접속 요청으로 취급된다. 서버는 한쪽만 열린 접속 부 프로세스를 만들고 TCP/SYN-ACK 패킷을 보낸 후 송신자 주소로부터의 패킷을 기다리게 된다. (ACK도 TCP 패킷 머리 부분의 한 bit) 그러나 송신자 주소가 위조된 것이므로 응답은 돌아오지 않는다. 이러한 한쪽만 열린 접속으로 서버에서 사용 가능한 접속의 수가 차면 공격이 지속되는 동안 정당한 요청에 답을 할 수 없게 된다.

tear drop 공격

[편집]

눈물방울 공격은 내용물이 겹치거나, 내용물의 크기가 과대한 망가진 IP 조각을 보낸다. 이로 다양한 운영체제가 깨어질 수 있는데, 까닭은 TCP/IP 조각 재조립 코드에 버그가 있기 때문이다. 윈도우 3.1x, 윈도우 95, 윈도우 NT 운영체제와 리눅스 2.0.32, 2.1.63 이전 버전은 이 공격에 취약하다.

Peer 2 Peer(P2P) 공격

[편집]

분산 DDoS 공격을 위해 다수의 P2P 서버의 버그가 이용된 적이 있다. 가장 공격적인 분산 DoS 공격은 DC++를 이용한 것이다. P2P 공격은 일반 봇넷 공격과 달리 봇넷이 존재하지 않고 공격자가 그 클라이언트와 통신할 필요가 없다. 대신 공격자는 인형사처럼 행동하여 큰 P2P 파일 공유 허브의 클라이언트들이 P2P 망과 접속을 끊고 표적의 웹사이트에 대신 연결하도록 시킨다. 결과로 몇천개의 컴퓨터가 표적 웹사이트에 공격적으로 접속하려고 할 수 있다. 전형적인 웹 서버는 초당 수백 건의 접속을 다룰 수 있지만, 대부분의 웹서버는 초당 5000~6000건의 접속 하에서는 거의 즉시 기능이 중단된다. 적당히 큰 P2P 공격은 짧은 시간에 75만 접속을 당할 수 있다. P2P 공격은 서명 signature로 쉽게 알아차릴 수 있지만 대량의 IP 주소(대규모 공격의 경우 25만개)를 봉쇄해야 하기 때문에 이런 종류의 공격이 방어를 압도할 수 있다. 완화 장치가 계속 IP 주소를 봉쇄할 수 있지만 다른 문제도 고려해야 한다. 예를 들어 짧은 순간이지만 서명을 알아차리기 전에 뚫고 들어올 수 있다.

이 공격은 P2P 규약에 어떤 포트가 허용되는지를 명세함으로써 방지할 수 있다. 80번 포트가 허용되지 않으면 웹사이트에 관한 공격의 가능성은 매우 낮다.

영구 서비스 거부 공격

[편집]

플래싱(flashing)이라고도 알려져 있는 PDoS 공격은 어떤 시스템을 손상시켜 하드웨어를 교체 또는 재설치 하게끔 만든다. DDoS 공격과는 달리 PDoS 공격은 라우터건, 프린터건, 또는 다른 종류의 전산망 연결 하드웨어가 되었건 목표 하드웨어의 원격 관리 인터페이스 보안 결함을 이용한다. 이러한 결함으로 공격자가 원격으로 장치 펌웨어를 개정하여 조작, 오염 또는 결함이 있는 펌웨어로 바꾸게 만든다. 따라서 영구적으로 그 원래 목적으로 사용할 수 없게 만든다. PDoS 공격은 순수하게 하드웨어를 표적으로한 공격으로 DDoS 공격의 봇넷 동원에 비해 훨씬 적은 자원을 필요로 한다. 이러한 특성 때문에 그리고 전산망 접속 가능 장치의 보안 이용에 관한 잠재적 가능성때문에 다양한 해커 공동체의 주의를 끌게 되었다.

플래시댄스는 휴렛 팩커드 직원이 개발한 툴로 2008 런던에서 열린 EU보안 관련 학회에서 PDoS 취약점을 검출하고 시연하는데 사용되었다.

응용 수준 공격

[편집]

인터넷 릴레이 챗에서는 인터넷 릴레이 챗 홍수가 일반적인 전자전 무기이다.

버퍼 오버플로와 같은 다양한 서비스 거부 유발 공격이 서버가 실행시키고 있는 소프트웨어를 혼란시켜 디스크 공간을 채우거나 가용 메모리 또는 CPU를 소모시킬 수 있다.

다른 종류의 서비스 거부는 주로 짐승같이 힘으로 밀어붙이는 식으로 표적을 압도적인 패킷 유량에 잠기게 하고 그 접속 대역폭을 포화시키거나 표적의 시스템 자원을 탕진시키는 것이다. 대역폭 포화 홍수는 공격자가 표적 보다 가용 대역폭이 커야 한다. 오늘날 이를 달성하는 일반적인 방법은 분산 서비스 거부로 봇넷을 동원한다. 다른 홍수 공격은 유한한 자원을 포화시키기 위하여 특정 패킷 유형 또는 접속 요청을 사용한다. 예를 들어 최대 접속 수를 차지하거나 표적의 디스크 공간을 기록으로 채우는 것이다.

"바나나 공격"은 다른 특정 형태의 DoS 공격이다. 나가는 메시지의 방향을 되돌려 외부와 접속하지 못하게 하고 클라이언트를 보냈던 패킷에 잠기게 하는 것이다.

표적 컴퓨터에 접속할 수 있는 공격자는 사용이 불가능할때까지 느리게 만들거나 포크 폭탄으로 깨뜨릴 수 있다.

핵 공격

[편집]

핵 누크(Nuke)는 전산망 대상의 오래된 DoS 공격으로 조각난 또는 다른 형태의 무효 ICMP 패킷을 표적에 보낸다.

DDoS 공격

[편집]

분산 서비스 거부 공격(Distributed DoS attack, DDoS attack, 디도스 공격)은 다수의 시스템을 통해 공격을 시도하며 다양한 방법을 통해 동시에 공격하기도 한다.

악성코드바이러스 등의 악의적인 프로그램들을 통해서 일반 사용자의 PC를 감염시켜 좀비PC로 만든 다음 C&C 서버[3]를 통해 DDoS 공격이 수행된다. (가장 유명한 예는 MyDoom 공격이다.) DDoS 공격은 악의적인 프로그램에서 정한 특정 시간대에 시작된다. 대표적 피해사례로 2009년 7월 7일에 있었던 DDoS 공격이 있다.

DRDoS 공격

[편집]

분산 반사 서비스 거부 공격(Distributed Reflect DoS attack, DRDoS attack)은 DDoS 공격이 한 단계 더 진화한 형태의 공격 방식이다.

IP 주소를 스푸핑한 ICMP Echo request 패킷을 브로드캐스트 주소로 보내 공격 대상에게 수많은 Echo reply 패킷을 전송함으로써 다운시키거나(Smurf 공격), TCP/IP 네트워크의 취약점을 이용하여 공격 대상에게 SYN/ACK 홍수를 일으켜 대상을 다운시키는 공격 방법이 대표적이다.

누크

[편집]

누크(Nuke) 또는 누킹은 파편적인 또는 유효하지 않은 ICMP 패킷을 대량으로 보냄으로써 이루어지는 컴퓨터 네트워크에 대한 고전적인 DoS 공격이다. 수정된 유틸리티를 사용하여 반복적으로 이러한 손상된 데이터를 송신하며 영향을 받은 컴퓨터가 완전히 멈출 때까지 속도를 저하시킨다.

유선/무선

[편집]

크게 유선 무선의 두가지 주요 공격 방법이 있다. 유선망 공격은 대량의 계산 용량이 필요하며 때로 분산 컴퓨팅이 동원된다. 유선망 공격에는 외부 안테나 등은 필요하지 않으나 인터넷에의 광대역 접속은 필요하다.

무선망 공격은 고출력(300mW 수준 이상[출처 필요]) 카드와 고이득 (지향성) 외부 안테나를 사용한다.

DoS 공격의 예방과 대응

[편집]

미국 사이버보안 및 인프라 보안국에 따르면, DoS 또는 DDoS 공격의 대상이 되는 것을 완전히 피할 수 있는 방법은 없다.[4] 하지만 관리자가 네트워크에 대한 공격의 영향을 줄이기 위해 취할 수 있는 사전 예방적인 조치들이 있다[5].

공격에 대한 대책

[편집]

DoS 공격이 시작되면 즉시 조치를 시작해야 한다.

공격에 가장 쉽게 대처하는 방법은 물론 대안을 수립해 놓는 것이다. 핵심 서버들에 비상시의 IP를 준비하고 분산시켜 놓는 것이 매우 중요하다. 공격이 일어났을 때 우회할 수 있는 방법과 대체할 수 있는 시스템에 대해 투자하는 것에도 소홀해서는 안 된다.

라우터

[편집]

스위치처럼 라우터도 트래픽 제한 방법을 제공한다. 물론 수동으로 설정하여야 한다. 대부분의 라우터는 DoS 공격에 취약하다. DoS 공격이 일어나면 라우터에 트래픽 정책을 변경하여 DoS 공격자들을 제한한다면 수월하게 대처할 수 있다. 대부분의 네트워크 장비 회사들은 DoS 공격을 예방할 수 있는 최소한의 라우팅 설정에 대한 안내서를 제공한다.

유해사이트 차단

[편집]

7·7 DDoS 공격, 3·3 DDoS 공격 사건 모두 악성코드에 감염된 P2P와 웹하드에 접속한 PC가 좀비화되어 발생했다.[6] DDoS 공격을 초래하는 숙주사이트인 P2P, 웹하드, 불법사이트 접근을 차단해 DDos 공격을 근본적으로 차단해야 한다.[7] 개인PC의 경우 개인의 자유이므로 불법사이트 접근을 지양하는 것이 좋으며, 내부에 개인정보, 기밀정보 등 주요정보가 저장된 기업, 기관의 경우 자체적으로 DDos 숙주사이트, 악성코드 배포사이트, 불법사이트 접근을 관리하는 것이 중요하다.[8]

같이 보기

[편집]

각주

[편집]
  1. Seo, Jung-Woo; Lee, Sang-Jin (2015년 2월 28일). “A study on the detection of DDoS attack using the IP Spoofing”. 《Journal of the Korea Institute of Information Security and Cryptology》 25 (1): 147–153. doi:10.13089/jkiisc.2015.25.1.147. ISSN 1598-3986. 
  2. DoS 이해 (Understanding Denial-of-Service Attacks) (US CERT)
  3. 좀비PC를 제어하고 공격명령을 하달하는 서버
  4. “Understanding Denial-of-Service Attacks | CISA”. 2021년 3월 18일에 원본 문서에서 보존된 문서. 2021년 3월 19일에 확인함. 
  5. “Understanding Denial-of-Service Attacks | CISA”. 2021년 3월 18일에 원본 문서에서 보존된 문서. 2021년 3월 19일에 확인함. 
  6. 한국인터넷 기업협회 (2009년 10월 28일). [www.kinternet.org/_n_2009/1028/ksc.pdf “7.7 DDoS 공격에 따른 ISP의 대응전략”] |url= 값 확인 필요 (도움말) (PDF). 한국인터넷기업협회. 2019년 5월 23일에 확인함. 
  7. 이, 광범 (2009년 7월 10일). “DDoS공격 초래 6개 숙주사이트 차단”. 《DDoS공격 초래 6개 숙주사이트 차단》. 한겨레. 2019년 5월 23일에 확인함. 
  8. 길, 민권 (2019년 4월 14일). “김대환 소만사 대표 "HTTPS 보안은 선택이 아닌 필수". 《데일리시큐》. 2019년 5월 23일에 확인함. 

외부 링크

[편집]