-
DRDoS(Distributed Reflection Dos) 공격이란?Engineer information security 2021. 2. 1. 02:21반응형
DRDoS 공격을 해석하면 분산 반사 DoS 공격이다.
무엇을 분산하고 반사하는 것일까?? 바로 공격자의 대량의 공격 요청이다.
공격자는 IP를 공격 대상으로 Spoofing 하고, 대량의 공격 요청을 반사 대상(서버 등)에 보낸다.
그리고 대량의 요청을 받은 반사 대상은 요청의 출발지가 공격 대상으로 인식하게 되고,
응답을 공격 대상으로 하게 된다. 이때, 반사 대상이 많을 수록 공격 대상에게 더 많은 피해를 주게 된다.
그림으로 보면 이해가 쉽다.
공격 과정
1. 공격자는 IP Spoofing을 공격 대상으로 변경한 상태로 패킷을 반사 서버로 보낸다.
2. 요청을 받은 대량의 반사 서버들은 응답을 Target 서버로 보낸다.
3. 공격 대상은 요청을 한적 없는 응답을 받아 가용성을 잃는다.
이 공격은 공격 대상이 어떤 프로토콜을 사용할 수 있냐에 따라 공격 방법은 응용이 가능하다.
TCP 프로토콜 사용이 가능하다면 TCP 공격을 사용하고 UDP 프로토콜 사용이 가능하다면 UDP 공격을 하면 된다.
가장 무서운 점은 반사 서버가 엄청나게 많을 때이다. 감당할 수 없는 패킷량으로 서비스가 마비될 수 있다.
UDP를 이용한 공격에는 DNS DRDoS / SNMP DRDoS / NTP DRDoS 가 있다.
DNS DRDoS
DNS 반사 서버에 레코드 정보를 요청하는 질의(ANY 등)를 보내 목표물이 대량의 응답을 받도록 한다.
SNMP DRDoS
SNMP 반사 서버에 대량의 트래픽을 유발할 수 있는 명령을 보내 목표물이 대량의 응답을 받도록 한다.
NTP DRDoS
NTP 반사 서버에 대량의 정보를 요청하는 명령을 보내 목표물이 대량의 응답을 받도록 한다.
TCP 공격으로는 Syn Flooding 공격이 있다.
공격자가 IP를 목표물로 설정, 반사 서버로 Syn을 요청하면 반사 서버는 목표물에게 syn+ack를 보낼 것이다.
목표물은 tcp 연결 특성상 일정 시간이 지나면 다시 syn+ack를 재전송한다.
그리고 이 과정은 대량의 반사 서버와 진행하게 되고, 가용성을 침해당하고 서비스가 마비된다.
보안 대책
원초적인 방어를 하려면 ISP에서 Ingress Filtering(IP Spoofing 패킷 진입 불가) 설정
네트워크 보안 장비(방화벽 등)에서 동일 IP에 대해 일정 요청 이상은 차단하도록 설정한다.
NTP의 경우 monlist 기능을 비활성화한다.(ntpdc -c monlist NTP 서버 주소)
반응형'Engineer information security' 카테고리의 다른 글
Wireless LAN 구성 요소 용어 설명 (0) 2021.02.02 Wireless LAN(무선랜)취약점 (0) 2021.02.02 IPv4 에서 IPv6로 변환 방법 알아보기 (1) 2021.01.22 IPv6 주소란? (0) 2021.01.21 HULK DoS 공격 이란? (0) 2021.01.19