DRDoS(Distributed Reflection Dos) 공격이란?

DRDoS 공격을 해석하면 분산 반사 DoS 공격이다.

무엇을 분산하고 반사하는 것일까?? 바로 공격자의 대량의 공격 요청이다. 

공격자는 IP를 공격 대상으로 Spoofing 하고, 대량의 공격 요청을 반사 대상(서버 등)에 보낸다.

그리고 대량의 요청을 받은 반사 대상은 요청의 출발지가 공격 대상으로 인식하게 되고, 

응답을 공격 대상으로 하게 된다. 이때, 반사 대상이 많을 수록 공격 대상에게 더 많은 피해를 주게 된다.

그림으로 보면 이해가 쉽다. 

DRDoS 공격 방식

 

 

 

공격 과정

1. 공격자는 IP Spoofing을 공격 대상으로 변경한 상태로 패킷을 반사 서버로 보낸다.

2. 요청을 받은 대량의 반사 서버들은 응답을 Target 서버로 보낸다. 

3. 공격 대상은 요청을 한적 없는 응답을 받아 가용성을 잃는다.

 

 

이 공격은 공격 대상이 어떤 프로토콜을 사용할 수 있냐에 따라 공격 방법은 응용이 가능하다.

TCP 프로토콜 사용이 가능하다면 TCP 공격을 사용하고 UDP 프로토콜 사용이 가능하다면 UDP 공격을 하면 된다.

가장 무서운 점은 반사 서버가 엄청나게 많을 때이다. 감당할 수 없는 패킷량으로 서비스가 마비될 수 있다.

 

 

UDP를 이용한 공격에는 DNS DRDoS / SNMP DRDoS / NTP DRDoS 가 있다.

 

DNS DRDoS

DNS 반사 서버에 레코드 정보를 요청하는 질의(ANY 등)를 보내 목표물이 대량의 응답을 받도록 한다.

SNMP DRDoS

SNMP 반사 서버에 대량의 트래픽을 유발할 수 있는 명령을 보내 목표물이 대량의 응답을 받도록 한다.

NTP DRDoS

NTP 반사 서버에 대량의 정보를 요청하는 명령을 보내 목표물이 대량의 응답을 받도록 한다.

 

 

TCP 공격으로는 Syn Flooding 공격이 있다.

공격자가 IP를 목표물로 설정, 반사 서버로 Syn을 요청하면 반사 서버는 목표물에게 syn+ack를 보낼 것이다.

목표물은 tcp 연결 특성상 일정 시간이 지나면 다시 syn+ack를 재전송한다. 

그리고 이 과정은 대량의 반사 서버와 진행하게 되고, 가용성을 침해당하고 서비스가 마비된다.

 

 

보안 대책

원초적인 방어를 하려면 ISP에서 Ingress Filtering(IP Spoofing 패킷 진입 불가) 설정

네트워크 보안 장비(방화벽 등)에서 동일 IP에 대해 일정 요청 이상은 차단하도록 설정한다.

NTP의 경우 monlist 기능을 비활성화한다.(ntpdc -c monlist NTP 서버 주소)