문) DDoS 해킹 기법
답)
1. Web Service에 대한 서비스 거부 공격 DDoS 개요
가. DDoS(Distribute Denial of Service)의 정의
- TCP 프로토콜의 3-way hand shaking 기법을 악용하여 Web Service 의 리소스 자원을 고갈시켜 서비스 불능 상태로 만드는 해킹기법(보안 3대 요소 중 가용성관련)
나. DDoS의 특징
- 공격자는 봇PC(악성코드에 감염된 불특정 다수의 PC)를 조종하여 WebService공격
(추적 어려움, 봇PC 감염자는 본인의 공격여부 모름)
- 주로 공공기관, 유명사이트 등 특정 사이트를 공격
- 데이터 탈취 및 변조보다 보복성/과시성 공격 성향이 강함
- 약500대의 봇PC는 48Gbps의 트래픽 유발 가능
2. DDoS의 해킹기법
가. TCP Sync Flooding
- 패킷 snifing : 3-way handshaking 과정 중 서버->클라이언트로 보내지는 패킷을 Still하여 TCP헤더의 Host IP를 변조
- Web Server Overflow : Server는 변조된 HostIP로 연결승인 신호를 보내게 되며 원래 Host는 응답을 못받아 연결요청 신호를 재송신, 완료안된 연결요청 신호가 Server버퍼에 쌓이게되어 버퍼 Overflow발생
나. 대용량 네트워크 트래픽
- 악성코드 유포 : 공격자는 포털사이트 게시판, 피싱 사이트 등을 활용하여 불특정 다수의 PC에 원격조정을 위한 악성코드 유포
- 특정 Web Server공격 : 공격자의 컨트롤 또는 이미 프로그래밍 된 시간에 특정 WebServer에 지속적인 대용량의 연결신호 송신. Server가 처리할 수 있는 트래픽의 용량이 초과되어 정상 사용자의 서비스를 처리할 수 없게됨.
3. DDoS 해킹 대응 방법
가. 기밀성 강화
- SCTP : 차세대 프로토콜의 SCTP를 활용하여 패킷 Still시 헤더 정보를 읽지 못하도록함.
- SSL : 전송구간에 대한 SSL암호화(TCP 443포트)로 데이터보호
- IPv6 : IPSec이 기본탑재되어 있는 IPv6의 주소체계를 활용하여 기밀성강화
(IPv6은 2011년 6월 부터 주소할당예정)
나. 가용성 강화
- 버퍼 Overflow 예방 : 접속 대기시간을 최소화하여 TCP Sync Flooding에 대한 대응. 너무 짧은 대기시간은 접속 세션의 수를 증가시켜 오히려 리소스의 고갈을 초래할 수 있음.
- 공격패턴분석 : 일정 시간동안 동일 Host의 연속적인 접속 요청 등 패턴 분석을 통한 패킷 Drop
- 대역폭 확보 : 트래픽 로드밸런싱에 따른 분산네트워크/분산Server의 구축으로 일정 용량의 접속요청 신호에 대한 가용성확보(동기화이슈발생고려, ROI측면검토필요)
4. DDoS해킹 대응 방법
가. 로컬리티 : 공공(중앙정부->하위기관),기업(본사->지사)등 특정 공격패턴 발생 시 패턴정보의 동기화를 수행하여 동일 패턴에 대한 공격이 전파되지 않도록 해야함.
나. OWASP TOP10 : OWASP의 TOP10 최신항목을 유지하여 새로운 공격패턴에 대한 정보 분석 및 대응
다. 공격 패킷과 정상패킷 구분 : 공격패킷과 정상패킷(Heavy User)을 구분할 수 있는 기술이 미비.
라. IPv6 도입 : IPv6도입 시 HW의 적정성 여부(IPv6 수용여부)를 고려해야 함.
끝.
