DDoS(Distributed Denial of Service) 공격 이란?

DDoS 공격은 다수의 PC(좀비 디바이스 또는 봇)를 이용하여 목표물의 시스템 또는 가용성 등을 마비시키는 공격이다. 이 공격을 진행하기 위해서 4가지 필수 조건이 필요하다. 4가지 필수 조건에 해당하는 것은 공격자(마스터) / 다수의 PC(좀비 디바이스 또는 봇) / 명령을 전달하는 서버(C&C) / 목표물이다. C&C는 Control & Command의 약자이다.

간단하게 4가지 필수조건을 설명하면

- 공격자(마스터) : 서버(C&C)에 공격 명령을 지시한다.

- 서버(C&C) : 공격자에게 전달 받은 명령을 다수의 PC(좀비 디바이스 또는 봇)에 전달한다.

- 다수의 PC(좀비 디바이스 또는 봇) : 목표물에게 직접 공격을 가한다.

- 목표물 : 공격을 당하는 시스템을 말한다.

공격자는 공격을 지시할 서버를 만들어야 한다. 그리고 다수의 좀비 PC를 생성하기 위해 불특정 다수에게 봇 프로그램을 배포하기 위해 스팸 메일이나 웹 사이트를 통해 파일을 업로드하고 불특정 접속자가 그 파일을 다운로드하는 순간 또는 설치하는 순간 좀비 PC가 되도록 한다. 그리고 이러한 접속자가 많아질 수록 공격할 수 있는 좀비 PC가 늘어나므로 공격의 효과는 계속 증가하게 된다. 그리고 봇들이 증가 하여 감염된 봇들로 구성된 네트워크를 봇넷(Botnet)이라고 한다.

 

봇넷(Botnet)의 명령 제어 및 전달은 크게 2가지로 나누어진다. 중앙 집중형 명령제어 방식과 분산형 명령제어 방식이다.중앙 집중형은 봇넷이 C&C 서버와 연결, C&C 서버를 통해 명령제어를 받는 형식이다. 이 경우 C&C 서버가 탐지 또는 파괴당할 경우 공격이 중단될 수 있다.

 

하지만 분산형 명령제어 방식은 조금 다르다. 각자의 봇넷이 C&C서버의 역할을 하면서 C&C 서버가 불필요한 구조로 하나의 봇넷이 발견되어 차단당해도 다른 봇넷이 계속 공격을 진행할 수 있다. 중앙 집중형 명령제어 방식의 보완된 공격 방식이다. 분산형 명령 제어 방식은 아래 그림과 같은 구조이다.

 

분산형 명령 제어

 

 

정리하자면,

- DDoS 공격은 다수의 PC(좀비 디바이스 또는 봇)를 이용하여 목표물의 시스템 또는 가용성 등을 마비시킨다.

- 봇들이 증가 하여 감염된 봇들로 구성된 네트워크를 봇넷(Botnet)이라고 한다.

- 봇넷은 중앙 집중형 명령제어 방식 / 분산형 명령제어 방식이 있다.

- 중앙 집중형 명령 제어 방식은 C&C 서버가 봇넷에 명령 / 제어를 진행한다.

- 분산형 명령 제어 방식은 각자의 봇넷이 C&C 서버 역할을 하며 하나의 봇넷이 차단되어도 나머지 봇넷이 계속 공격을 진행할 수 있다.