EeS 의 연구실 :: DRDoS 란?

DRDoS 란?

Study-security2014. 6. 3. 01:01

DRDoS 란?

작성자 EeS at Aegis

1. 서론

7.7 디도스 사건 등 DDoS 에 의한 공격을 이용한 큰 사건들 이후
DDoS 공격에 대해 세계적으로 많은 관심이 모였습니다.
이에 DoS 공격도 발전하여 좀 더 방어가 불가능하고, 공격이 용이한 형태의 공격법이 나왔습니다.
그 중 DRDoS 공격에 대해 설명하러 합니다.

2. 기존 기술
DoS(Denial of Service) :

DoS 공격은 많은 양의 패킷을 보내 인터넷 서비스의 정상적인 동작을 방해하는 공격 입니다.
DoS 공격의 발전으로 여러대의 좀비 피시를 이용한 DDoS 공격이 있습니다.

DDoS(Distributed Denial of Service) :

DDoS 공격은 미리 공격자의 의도대로 동작하도록 감염된 여러대의 pc를 이용한 DoS 공격 입니다.

3. DRDoS(Distributed Reflection DoS) :
a. TCP 연결의 동작원리
TCP연결은 3Way-handshake 를 통해 신뢰성을 가집니다.

이미지 출처: http://www5e.biglobe.ne.jp/aji/3min/39.html

우선 클라이언트가 서버에게 syn 패킷을 보내면 서버는 클라이언트에게 ACK 와 SYN 패킷을 보내고,
그걸 받은 클라이언트는 다시 서버에게 ACK 패킷을 보냅니다.

일련의 과정을 통해 TCP연결이 이루어 집니다.

b. DRDoS 의 동작원리
DRDoS 는 위의 연결 방식을 악용하여 공격자는 임의의 서버에 SYN 패킷을 보냅니다.
이 때 SYN 패킷의 출발지주소(source addr)는 공격받을 대상의 주소로 변조됩니다.

따라서 공격을 받는 대상은, 정상적인 TCP연결로 인식하게 되기 때문에, 대처가 힘들어 집니다.

또한, 공격의 최초 발신지의 탐색이 어려워지기 때문에 IP차단을 통한 방어가 힘듭니다.

이 때 사용되는 임의의 서버(Reflector)는 들어오는 패킷에 응답하는 모든 장비가 될 수 있습니다.

이미지 출처: Survey of Network-Based Defense Mechanisms Countering the DoS and DDoS Problems

c. DRDoS 공격 방식

DRDoS는 DDoS와 같이 좀비 피시를 이용하는 사례가 많습니다.

이 때 공격받는 입장에서는 DDoS와 달리 공격자(zombie)를 알 수 없고, 정상적인 동작을 하는 패킷이기

때문에,정상 패킷과 비정상 패킷을 구분하기 어려워집니다.

d. 방어 방법

DRDoS의 특징적인 동작은, 자신의 IP를 변경하여 SYN을 보내는 점 입니다.
따라서 ISP단 에서 발신자가 변조된 패킷의 발신을 제한한다면, DRDoS 공격을 막을 수 있습니다.

이외에는, 위협을 확인 할 시, 현재 공격받고 있는 포트의 서비스를 포기하고 막는 방법이 유일합니다.
DRDoS의 특성 상 기존 DDoS 혹은 DoS 처럼 특정 IP에서 공격이 오는게 아닌 인터넷에 연결되어 있는

서버 중 패킷에 응답하는 모든 장비가, 공격원이 되기 때문에 트레픽을 많이 발생시키는 IP를 막는 방식으로

방어가 불가능합니다.

4. 마무리

DRDoS 공격은 한국에서는 2002년 처음 발견되었으며, 이후 확산되었습니다.

모든 DoS관련 공격이 그렇듯, 공격자의 노력과 수준에 비해 큰 피해를 입힐 수 있으며,
방어는 앞서 말했듯이 근본적인 해결보다는, 공격받는 서비스를 포기하더라도 다른 서비스를 살리는데에
주 목적을 두게 됩니다.

이 문서는 공격 방법을 가르치는데에 목적을 두고있지 않습니다.

상용서버나, 타인에게 해당 기법을 통해 공격 하는건 위법 행위이며,
작성자는 아무런 책임을 지지 않습니다.

저작자표시 비영리 동일조건

댓글()

티스토리툴바