À¯Çüº° ³×Æ®¿öÅ© ¹æȺ®ÀÇ Á¢¼Ó ÀÓ°èÄ¡ ¼³Á¤ µî ´Ü°èÀû Â÷´Ü ÀÛ¾÷ ÇÊ¿ä
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] Ç÷¯µù(Flooding)À̶õ ¾î¶² ³ëµå¿¡¼ ¿Â ÇϳªÀÇ ÆÐŶ(µ¥ÀÌÅÍ Àü¼Û¿¡ »ç¿ëµÇ´Â µ¥ÀÌÅÍ ¹À½)À» ¶ó¿ìÅÍ¿¡ Á¢¼ÓµÅ ÀÖ´Â ´Ù¸¥ ¸ðµç ³ëµå·Î Àü´ÞÇÏ´Â °ÍÀ¸·Î, ³×Æ®¿öÅ©¿¡¼ ¼öÁ¤µÈ ¶ó¿ìÆà Á¤º¸¸¦ ¸ðµç ³ëµå¿¡ ºü¸£°Ô ¹èÆ÷ÇÏ´Â ¼ö´ÜÀ¸·Î »ç¿ëµÇ°í ÀÖ´Ù. ÇÏÁö¸¸ Ç÷¯µù °ø°Ý(Flooding Attack)Àº ¾ÇÀÇÀûÀ¸·Î ÇѲ¨¹ø¿¡ ¸¹Àº ¾çÀÇ µ¥ÀÌÅ͸¦ º¸³» »ó´ë¹æÀÇ ¼ºñ½º¸¦ ¿î¿ëÇÒ ¼ö ¾ø°Ô ¸¸µå´Â ¼ºñ½º °ÅºÎ °ø°ÝÀ» ¶æÇÑ´Ù.
[À̹ÌÁö=utoimage]
³×Æ®¿öÅ© Ç÷¯µù °ø°ÝÀº ¿À·§µ¿¾È ¼ºñ½º °ÅºÎ °ø°ÝÀÇ Ç¥ÁØ µµ±¸·Î È°¿ëµÆ´Ù. ±âº» °³³äÀº ÇÕ¹ýÀûÀÎ ¼ºñ½º ¿äûÀ» ó¸®ÇÒ ¼ö ¾øµµ·Ï ƯÁ¤ ¼¹ö ¶Ç´Â ¼ºñ½º¿¡ ¸·´ëÇÑ ¾çÀÇ Æ®·¡ÇÈÀ» º¸³»´Â °ÍÀÌ´Ù. ÀÌ¿Í´Â ´Ù¸£°Ô ÇÕ¹ýÀûÀÎ Æ®·¡ÇÈÀÌ ´ë»ó ¼¹ö ¶Ç´Â ¼ºñ½º¿¡ µµ´ÞÇÒ ¼ö ¾øµµ·Ï ³×Æ®¿öÅ© Á¤Ã¼¸¦ Çü¼ºÇϱâ À§ÇØ Æ¯Á¤ ³×Æ®¿öÅ© ¼¼±×¸ÕÆ®¿¡ ´ë·®ÀÇ Æ®·¡ÇÈÀ» º¸³¾ ¼öµµ ÀÖ´Ù.
Ç÷¯µù °ø°ÝÀº Áö±ÝÀ¸·ÎºÎÅÍ 13³â ÀüÀÎ 2009³â¿¡ ¹ß»ýÇØ ¿ì¸®³ª¶ó¿¡ Å« Ãæ°ÝÀ» ¾È°å´ø 7¡¤7 DDoS(Distributed Denial of Service) °ø°ÝÀÇ ÇÑ ÃàÀ¸·Î º¼ ¼ö ÀÖ´Ù. DDoS °ø°ÝÀº Å©°Ô ´ë¿ªÆø ¼ÒÁø °ø°Ý°ú ¼ºñ½º(¾ÖÇø®ÄÉÀ̼Ç) ¸¶ºñ °ø°ÝÀ¸·Î ³ª´ ¼ö Àִµ¥, ´ë¿ªÆø ¼ÒÁø °ø°ÝÀÇ ´ëÇ¥ÀûÀÎ °ø°Ý À¯Çü¿¡´Â ¡âUDP/ICMP Ç÷¯µù °ø°Ý ¡âSYN(Synchronize sequence numbers) Ç÷¯µù °ø°ÝÀÌ ÀÖÀ¸¸ç, ¼ºñ½º(¾ÖÇø®ÄÉÀ̼Ç) ¸¶ºñ °ø°Ý¿¡´Â HTTP GET Ç÷¯µù °ø°ÝÀÌ ÀÖ´Ù.
Çѱ¹°úÇбâ¼úÁ¤º¸¿¬±¸¿ø(KISTI)ÀÌ ¹ßÇ¥ÇÑ ¡®DDoS °ø°Ý À¯Çüº° ºÐ¼®º¸°í¼¡¯¸¦ Áß½ÉÀ¸·Î Ç÷¯µù °ø°ÝÀÇ Á¤ÀÇ¿Í À¯Çü ºÐ·ù, ´ëÀÀ¹ýÀ» »ìÆ캻´Ù.
DDoS °ø°Ý À¯Çü, ´ë¿ªÆø ¼ÒÁø ¹× ¼ºñ½º ¸¶ºñ °ø°ÝÀ¸·Î ±¸ºÐ
DDoS °ø°Ý(Distributed Denial of Service : ºÐ»ê ¼ºñ½º °ÅºÎ °ø°Ý)Àº Å©°Ô ´ë¿ªÆø ¼ÒÁø °ø°Ý°ú ¼ºñ½º(¾ÖÇø®ÄÉÀ̼Ç) ¸¶ºñ °ø°ÝÀ¸·Î ³ª´ ¼ö ÀÖ´Ù. ±×¸®°í °ø°Ý ÇüÅ¿¡¼´Â UDP, ICMP µîÀÌ È°¿ëµÈ´Ù.
UDP(User Datagram Protocol)´Â ACK¿Í °°Àº ÀÀ´äÀ» ¼Û½Å ÂÊÀ¸·Î µ¹·Áº¸³»Áö ¾Ê´Â´Ù´Â Ư¡ÀÌ ÀÖÀ¸¸ç, ICMP(Internet Control Message Protocol)´Â ³×Æ®¿öÅ© ÀåºñµéÀÌ ¼·Î ¿¬°áµÆ´ÂÁö È®ÀÎÇÏ´Â ping¿¡¼ »ç¿ëÇÏ´Â ÇÁ·ÎÅäÄÝÀ» ÀǹÌÇÑ´Ù. SYNÀº ÀϹÝÀûÀÎ Åë½ÅÀ» Çϱâ À§ÇØ ¹Ýµå½Ã »ç¿ëÇØ¾ß ÇÏ´Â ÆÐŶÀ̸ç, ¼ºñ½º À¯Çü¿¡ µû¶ó SYN ÆÐŶÀÇ »ç¿ë·®¿¡´Â Â÷ÀÌ°¡ ÀÖ´Ù.
´ë¿ªÆø ¼ÒÁø °ø°ÝÀº ¡âUDP/ICMP Ç÷¯µù °ø°Ý°ú ¡âTCP Traffic Ç÷¯µù °ø°Ý ¡âIP Ç÷¯µù °ø°Ý µî 3°³·Î ±¸ºÐµÇ¸ç, ³×Æ®¿öÅ© ÀÎÇÁ¶ó¸¦ °ø°Ý´ë»óÀ¸·Î ÇÑ´Ù. ¼ºñ½º(¾ÖÇø®ÄÉÀ̼Ç) ¸¶ºñ °ø°ÝÀº ¡âHTTP Traffic Ç÷¯µù °ø°Ý ¡âHTTP Header/Option Spoofing Ç÷¯µù °ø°Ý µîÀ¸·Î ±¸ºÐÇÒ ¼ö ÀÖÀ¸¸ç, À¥¼¹ö¿Í º¸¾ÈÀåºñ µî¿¡ ÇÇÇظ¦ ÁØ´Ù.
¡ãACL·Î UDP-ICMP¸¦ Â÷´ÜÇÏ´Â ¼³Á¤ÀÇ ¿¹½Ã[À̹ÌÁö=KISTI]
UDP/ICMP Ç÷¯µù °ø°Ý, ³×Æ®¿öÅ© ´ë¿ªÆø Àá½ÄÇØ DoS »óÅ À¯¹ß
UDP/ICMP Ç÷¯µù °ø°ÝÀº ¼Ò½º IP¸¦ º¯Á¶Çϰųª ½ÇÁ¦ IP¸¦ ÀÌ¿ëÇØ UDP/ICMP ÆÐŶÀ» ´Ù·®À¸·Î Àü¼Û, ³×Æ®¿öÅ© ´ë¿ªÆøÀ» Àá½Ä½ÃÄÑ DoS »óŸ¦ À¯¹ßÇÏ´Â ¼ö¹ýÀÌ´Ù.
ÀϹÝÀûÀ¸·Î UDP/ICMP Ç÷¯µù °ø°ÝÀ» ¼öÇàÇÒ ¶§ ÇϳªÀÇ Á»ºñ PC¿¡¼ ¹ß»ý½ÃÅ°´Â ÆÐŶÀº Å©±â¿Í Àü¼Û °£°ÝÀÌ ´Ù¾çÇϸç,¹æȺ®À¸·Î ¸ðµç ÆÐŶÀÌ ¸ô¸®°Ô µÅ º¸Åë ÃÊ ´ÜÀ§ÀÇ ÂªÀº ½Ã°£¿¡ ´ë·®ÀÇ ÆÐŶÀÌ ÁýÁßµÉ ¼ö¹Û¿¡ ¾ø´Ù.
UDP/ICMP Ç÷¯µù °ø°ÝÀÇ ¹æ¾î¿Í ÇÇÇØ ¿Ïȸ¦ À§Çؼ´Â ³×Æ®¿öÅ© ½ºÀ§Ä¡¿¡¼ ACL(Access Control List) ±â¹ÝÀÇ ÇÁ·ÎÅäÄÝ Â÷´ÜÀ̳ª ¹æȺ®ÀÇ ÀÓ°èÄ¡ ¼³Á¤ ±â´ÉÀ» »ç¿ëÇÏ¸é °¡´ÉÇÏ´Ù.
¸ÕÀú ACL(Access Control List) ¼³Á¤À» ÀÌ¿ëÇÑ Â÷´Ü ¹æ¹ýÀº À¥¼¹ö ¶Ç´Â ¿î¿µÀåºñ¿¡ ´ëÇÑ Á¢±ÙÁ¦¾î ¸ñ·Ï¿¡ Â÷´ÜÇÏ°íÀÚ ÇÏ´Â ÇÁ·ÎÅäÄÝ Á¤º¸¸¦ ACL¿¡ UDP/ICMP DROP Á¤º¸·Î ¼³Á¤ÇØ Â÷´ÜÇÏ¸é µÈ´Ù.
µÎ ¹ø°´Â Àιٿîµå ÆÐŶ¿¡ ´ëÇÑ ÀÓ°èÄ¡ ¼³Á¤À» ÀÌ¿ëÇÑ Â÷´ÜÀÌ´Ù. ¿î¿µÀåºñ·Î À¯ÀԵǴ Àιٿîµå ÆÐŶÀ» ±âÁØÀ¸·Î PPS(Packet Per Second) ¼öÄ¡¸¦ À¯ÀԵǴ ¼öÄ¡º¸´Ù ³·°Ô ¼³Á¤(¿¹ : 10)ÇØ ÀÓ°èÄ¡ ÀÌ»óÀÇ UDP/ICMP Æ®·¡ÇÈÀÇ À¯ÀÔÀ» Â÷´ÜÇÒ ¼ö ÀÖ´Ù.
¡ãTCP Syn Ç÷¯µù °ø°ÝÀÇ È帧[À̹ÌÁö=KISTI]
SYN Ç÷¯µù °ø°Ý, ´ë·® SYN ÆÐŶ »ý¼ºÇØ Â÷ÈÄ ¿¬°á ¿äû ¹«½Ã
SYN Ç÷¯µùÀÇ °ø°Ý±â¹ýÀº TCP ¿¬°á°úÁ¤(3-Way Handshaking)ÀÇ Ã¹ ´Ü°èÀÎ SYN ÆÐŶ Àü¼Û ´Ü°è¿¡¼ °ø°ÝÀÚ´Â ´ë·®ÀÇ SYN ÆÐŶÀ» »ý¼ºÇØ ¼¹ö·Î Àü´ÞÇϸé, TCP ¿¬°á¿äûÀ» ¼ö¿ëÇÒ ¶§ »ç¿ëÇÏ´Â ¼¹öÀÇ ´ë±â Å¥°¡ °¡µæ Â÷°Ô µÅ ±× ÀÌÈÄ·Î µé¾î¿À´Â ¿¬°á¿äûÀ» ¹«½ÃÇϵµ·Ï ÇÏ´Â DoS »óŸ¦ À¯¹ßÇÏ°Ô µÈ´Ù.
SYN Ç÷¯µù °ø°ÝÀÌ ¹ß»ýÇÒ ¶§ ¼¹ö´Â ÀÚ½ÅÀÌ ¿¬°áÇÏÁö ¾ÊÀº Ãâ¹ßÁö¿¡¼ À¯ÀԵǴ ´Ù¾çÇÑ ÆÐŶÀ» ó¸®ÇÏ°í È®ÀÎÇÏ´Â °úÁ¤¿¡¼ °úºÎÇϸ¦ ÀÏÀ¸Å°°Ô µÈ´Ù.
SYN Ç÷¯µù °ø°ÝÀ» ¹æ¾îÇÏ°í ÇÇÇظ¦ ¿ÏÈÇϱâ À§Çؼ´Â TCP ÇÁ·ÎÅäÄÝÀÌ ¿¬°á ÁöÇ⼺(Connection-Oriented)À̶ó´Â Á¡À» ÀÌ¿ëÇÏ°í, TCP ¿¬°á°úÁ¤¿¡ À§¹èµÈ TCP ÆÐŶÀÌ À¯À﵃ °æ¿ì ºñÁ¤»óÀûÀÎ Æ®·¡ÇÈÀ¸·Î ±¸ºÐÇØ Â÷´ÜÇÏ´Â ¹æ¹ýÀÌ °¡Àå È¿°úÀûÀÌ´Ù. ¶ÇÇÑ, Á¤»óÀûÀÎ Æ®·¡ÇÈÀÇ ÀÓ°èÄ¡¿¡ µû¶ó ºñÁ¤»óÀûÀ¸·Î ¸¹Àº Æ®·¡ÇÈÀ» À¯¹ßÇÏ´Â Ãâ¹ßÁö IP¸¦ È®ÀÎÇÏ°í ÀÌ¿¡ ´ëÇØ Â÷´ÜÇÏ´Â ÀÓ°èÄ¡ ±â¹ÝÀÇ DDoS ¹æ¾î¸¦ ÇÏ´Â °ÍÀÌ ÇÊ¿äÇÏ´Ù.
¸ÕÀú ÀÓ°èÄ¡ ±â¹ÝÀÇ SYN Ç÷¯µùÀ» Â÷´ÜÇÏ´Â ¹æ¹ýÀº ¹æȺ®ÀÇ IP´ç SYN ¿äû¿¡ ´ëÇÑ PPS ÀÓ°èÄ¡¸¦ ´Ü°èÀûÀ¸·Î Á¶Á¤ÇØ Â÷´ÜÇÒ ¼ö ÀÖ´Ù.
µÎ ¹ø°·Î First SYN Drop(Spoofed) ¼³Á¤¿¡ ÀÇÇÑ Â÷´ÜÀÌ´Ù. SYN ÆÐŶÀ» º¸³»´Â Ŭ¶óÀ̾ðÆ®°¡ ÁøÂ¥ Á¸ÀçÇÏ´ÂÁö¸¦ ÆľÇÇØ Â÷´ÜÇÏ´Â ¹æ¹ýÀ¸·Î Ŭ¶óÀ̾ðÆ®·ÎºÎÅÍ Àü¼ÛµÈ ù ¹ø° SYNÀ» DropÇØ Àç¿äû ÆÐŶÀÌ µµÂøÇÏ´ÂÁö¸¦ È®ÀÎÇÏ°í Spoofing ¿©ºÎ¸¦ ÆÇ´ÜÇÏ°í Â÷´ÜÇÏ¸é µÈ´Ù.
HTTP GET Ç÷¯µù °ø°Ý, ¾ÖÇø®ÄÉÀÌ¼Ç ¸¶ºñ °ø°ÝÀÇ ´ëÇ¥Àû »ç·Ê
HTTP GET Ç÷¯µù °ø°ÝÀº ¼ºñ½º(¾ÖÇø®ÄÉÀ̼Ç) ¸¶ºñ °ø°ÝÀÇ ´ëÇ¥ À¯ÇüÀÌ´Ù. HTTP ¸Þ½ÃÁö´Â Çì´õ(Header)¿Í º¸µð(Body)·Î ±¸¼ºµÇ¸ç Çì´õ¿¡´Â º¸³¾ ¸Þ½ÃÁöÀÇ Çü½ÄÀ», º¸µð¿¡´Â ½ÇÁ¦ º¸³¾ ¸Þ½ÃÁöÀÇ ³»¿ëÀ» Á¤ÀÇÇÑ´Ù. HTTP ¸Þ½ÃÁö´Â TCP¸¦ ÅëÇØ ÃÖ¼Ò 1°³ ÀÌ»óÀÇ ÆÐŶÀ¸·Î ºÐÇÒ Àü¼ÛµÈ´Ù.
HTTP GET Ç÷¯µù °ø°Ý¿¡´Â ¡âGet Ç÷¯µù ¡âGET Ç÷¯µù with Cache-Control(CC Attack)ÀÌ ÀÖ´Ù. À̹ۿ¡µµ HTTP Header/Option Spoofing Ç÷¯µù °ø°ÝÀº ¡âSlow HTTP POST DoS ¡âSlow HTTP Header DoS(Slowloris) ¡âSlow HTTP Read DoS °ø°ÝÀ¸·Î ³ª´¶´Ù.
¡ãGet Ç÷¯µù °ø°Ý ÆÐŶÀÇ ¿¹[À̹ÌÁö=KISTI]
Get Ç÷¯µù °ø°Ý, °°Àº URL ¹Ýº¹ ¿äûÇØ ¿ë·® ÃÊ°ú ¼ºñ½º ºÒ°¡
Get Ç÷¯µù °ø°ÝÀº °ø°ÝÀÚ°¡ µ¿ÀÏÇÑ URLÀ» ¹Ýº¹ ¿äûÇØ À¥ ¼¹ö°¡ URL¿¡ ÇØ´çµÇ´Â µ¥ÀÌÅ͸¦ Ŭ¶óÀ̾ðÆ®¿¡°Ô ȸ½ÅÇϱâ À§ÇØ ¼¹ö ÀÚ¿øÀ» »ç¿ëÇϵµ·Ï ÇÏ´Â °ø°ÝÀÌ´Ù. À¥¼¹ö´Â ÇÑÁ¤µÈ HTTP ó¸® Ä¿³Ø¼Ç ¿ë·®À» °¡Á® ¿ë·® ÃÊ°ú½Ã Á¤»óÀûÀÎ ¼ºñ½º°¡ ¾î·Æ´Ù.
À̶§´Â ÀϹÝÀûÀ¸·Î ÀÓ°èÄ¡ ±â¹ÝÀÇ ¹æ¾î ±â¹ýÀ» Àû¿ëÇÏ¸é µÈ´Ù. Áï, HTTP Get Ç÷¯µù ½Ã ¼öÇàµÇ´Â TCP ¿¬°á ¿äûÀÇ ÀÓ°èÄ¡ °ª°ú HTTP Get ¿äûÀÇ ÀÓ°èÄ¡ °ªÀÇ ¸ð´ÏÅ͸µÀ» ÅëÇØ ºñÁ¤»óÀ¸·Î ¸¹Àº Æ®·¡ÇÈÀ» ¹ß»ýÇÏ´Â Ãâ¹ßÁö IP¸¦ ¼±º° Â÷´ÜÇÏ´Â °ÍÀÌ´Ù. À̶§ ¼¼¼Ç ¿¬°á ±â¹Ý °ø°ÝÀÇ °æ¿ì Ãâ¹ßÁö IP´Â º¯Á¶µÉ ¼ö°¡ ¾øÀ¸¹Ç·Î Ãâ¹ßÁö IP ±âÁØÀÇ ÀÓ°èÄ¡·Î ¹æ¾î°¡ °¡´ÉÇÏ´Ù.
ÇâÈÄ ÀÌ·¯ÇÑ ¼¼¼Ç ±â¹Ý °ø°ÝÀÇ °æ¿ì ´Ù¼öÀÇ »ç¿ëÀÚ¸¦ ÀÌ¿ëÇÑ DDoS °ø°ÝÀÌ ÀÌ·ïÁö¸é ÇϳªÀÇ Ãâ¹ßÁö IP´ç ¹ß»ýÇÏ´Â DDoS °ø°Ý Æ®·¡ÇÈ ¾çÀº ¹æ¾î Àåºñ¿¡¼ ¼³Á¤µÈ ÀÓ°èÄ¡ Á¤Ã¥º¸´Ùµµ ´õ ÀÛ°Ô °ø°ÝÇÒ ¼ö ÀÖ´Â À§ÇèÀÌ ÀÖ´Ù. µû¶ó¼ DDoS °ø°ÝÀ» ¼¼¹ÐÇÏ°Ô ¹æ¾îÇϱâ À§Çؼ´Â Á¤»óÀûÀ¸·Î HTTP Get ¿äûÀ» ÇÏ´ÂÁö¿¡ ´ëÇÑ Á¤¹ÐÇÑ °Ë»ç ±â¹ýÀÌ ¿ä±¸µÈ´Ù.
Get Ç÷¯µù °ø°ÝÀ» ¸·±â À§Çؼ´Â ¼¼ °¡Áö ´ëÀÀ¹æ¾ÈÀÌ ÀÖ´Ù. ù ¹ø°´Â ÄÜÅÙÃ÷ ¿äû¿¡ ´ëÇÑ ÀÓ°èÄ¡ ¼³Á¤ Â÷´ÜÀ¸·Î, Get Ç÷¯µù °ø°ÝÀº ƯÁ¤ÇÑ µ¿Àû ÄÜÅÙÃ÷ µ¥ÀÌÅ͸¦ ´Ù·®À¸·Î ¿äûÇÏ´Â °ÍÀÌ Æ¯Â¡À̹ǷΠIP¸¶´Ù ÄÜÅÙÃ÷ ¿äûÀÌ °¡´ÉÇÑ È½¼ö¿¡ ÀÓ°èÄ¡¸¦ ¼³Á¤ÇÏ¸é ¹æ¾î°¡ °¡´ÉÇÏ´Ù.
µÎ ¹ø°´Â ½Ã°£º° À¥ÆäÀÌÁö URL Á¢¼Ó ÀÓ°èÄ¡ ¼³Á¤ Â÷´ÜÀ¸·Î, URLÀÇ ½Ã°£º° ÀÓ°èÄ¡¸¦ ¼³Á¤ÇØ ÀÓÀÇÀÇ ½Ã°£ ³» ¼³Á¤ÇÑ ÀÓ°èÄ¡ ÀÌ»óÀÇ ¿äû¿¡´Â ÇØ´ç IP¸¦ Â÷´Ü¸ñ·ÏÀ¸·Î µî·ÏÇÏ´Â ¹æ¹ýÀÌ´Ù.
¼¼ ¹ø°´Â À¥½ºÅ©·¡ÇÎ(Web-Scraping) ±â¹ýÀ» ÀÌ¿ëÇÑ Â÷´ÜÀÌ´Ù. L7 ½ºÀ§Ä¡¸¦ ¿î¿µÇÏ´Â °æ¿ì, À¥½ºÅ©·¡ÇÎ ±â´ÉÀ» ÀÌ¿ëÇÏ¸é ¿äû ÆÐŶ¿¡ ´ëÇØ Æ¯Á¤ ÄíÅ° °ªÀ̳ª ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ º¸³» Ŭ¶óÀ̾ðÆ®·ÎºÎÅÍ ¿øÇÏ´Â °ªÀÌ Àç¿äû ÆÐŶ(ÀÀ´ä ÆÐŶ)¿¡ ¾ø´Â °æ¿ì ÇØ´ç ÆÐŶÀ» Â÷´ÜÇÏ¸é µÈ´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>