DDoS °ø°ÝÀÇ ´ëºÎºÐÀº Flooding °ø°Ý
ÃÖ±Ù DDoS °ø°ÝÀÇ À¯Çü¿¡´Â ¾î¶² °ÍµéÀÌ ÀÖÀ»±î? DDoS °ø°ÝÀÇ ´ëºÎºÐÀº Syn Flooding, Udp/Icmp Flooding µî°ú °°Àº Flooding °ø°ÝÀÌ´Ù. ÀÌ·¯ÇÑ Syn Flooding °ø°ÝÀÇ °æ¿ì´Â Syn Cookie ¹æ½ÄÀ» ÀÌ¿ëÇÏ¿© ¹æ¾îÇÏ´Â °ÍÀÌ ´ëºÎºÐÀÌ¸ç ³ª¸ÓÁö Flooding ¹æ¾î´Â Å©°Ô 3°¡Áö ¹æ¹ýÀ¸·Î ³ª´©¾îÁø´Ù. ù°´Â °íÀ¯ÀÇ ¾Ë°í¸®ÁòÀ¸·Î °ø°ÝÀÇ ÆÐÅÏÀ» ÀνÄÇؼ Â÷´ÜÇÏ´Â ¹æ¹ý°ú µÑ°´Â Rate Limited ¹æ½ÄÀ¸·Î ÀÏÁ¤ ÀÌ»óÀÇ Æ®·¡ÇÈÀÌ ¿ÔÀ» ¶§ Â÷´ÜÇÏ´Â ¹æ¹ý, ±×¸®°í ¼¼ ¹ø°´Â Whitelist¸¦ ÀÌ¿ëÇØ ½Å·ÚÇÒ ¼ö ÀÖ´Â »ç¶÷¸¸ Çã¿ëÇÏ´Â °ÍÀÌ´Ù. Flooding °ø°Ý À¯ÇüÀº ´ÙÀ½°ú °°´Ù.
¡Ü SYN Flooding
SYN Flooding °ø°ÝÀº ƯÁ¤ ½Ã½ºÅÛ¿¡ ´ëÇÑ ºÒ¹ýÀûÀαÇÇÑÀ» ¾ò´Â Àû±ØÀûÀÎ ¹æ¹ýÀÌ ¾Æ´Ï¶ó ³×Æ®¿öÅ©¿Í ½Ã½ºÅÛÀÇ ÀÚ¿øÀ» °ø°Ý ´ë»óÀ¸·Î ÇÏ´Â °ø°Ý¹æ¹ýÀÇ ÇϳªÀÌ´Ù. ÀÌ°ÍÀº TCP°¡ µ¥ÀÌÅ͸¦ º¸³»±â Àü¿¡ ¿¬°áÀ» ¸ÕÀú ¸Î¾î¾ß ÇÏ´Â ¿¬°áÁöÇâ(Connectionoriented)¼ºÀ» ÀÌ¿ëÇÑ ¹æ¹ýÀÌ´Ù. Áï, SYN FloodingÀº TCPÀÇ ¿¬°á °úÁ¤ÀÎ Three-way handshaking¸¦ ÀÌ¿ëÇÏ¿© °ø°ÝÀÚ(Attacker)°¡ ´ë»ó ½Ã½ºÅÛ(Victim)¿¡ source IP address¸¦ spoofingÇÏ¿© SYN ÆÐŶÀ» ƯÁ¤ Æ÷Æ®·Î Àü¼ÛÇÏ°Ô µÇ¸é ÀÌ Æ÷Æ®ÀÇ ´ë±â Å¥(BacklogQueue)¸¦ °¡µæÂ÷°Ô ÇÏ¿© ÀÌ Æ÷Æ®¿¡ µé¾î¿À´Â ¿¬°á¿äûÀ» Å¥°¡ ºô ¶§±îÁö ¹«½ÃÇϵµ·Ï ÇÏ´Â ¹æ¹ýÀÌ´Ù.
¡Ü UDP Flooding
UDP(User Datagram Protocol)¸¦ ÀÌ¿ëÇÑ ÆÐŶÀü´ÞÀº ºñ¿¬°áÇü(connectionless) ¼ºñ½º·Î¼ Æ÷Æ® ´ë Æ÷Æ®·Î Àü¼ÛÇÑ´Ù. ´ëÇ¥ÀûÀÎ ÀÀ¿ë ¼ºñ½º·Î TFTP, SNMP, ½Ç½Ã°£ ÀÎÅÍ³Ý ¹æ¼ÛµéÀÌ ÀÌ¿¡ ÇØ´çµÈ´Ù.
UDPFloodingÀº UDPÀÇ ºñ¿¬°á¼º ¹× ºñ½Å·Ú¼º ¶§¹®¿¡ °ø°ÝÀÌ ¿ëÀÌÇÑ ¹æ¹ýÀÌ´Ù. UDP´Â source address¿Í source port¸¦ spoofingÇϱ⠽±´Ù. ÀÌ·¯ÇÑ ¾àÁ¡µéÀ» ÀÌ¿ëÇØ °ú´ÙÇÑ Æ®·¡ÇÈÀ» victim¿¡ Àü¼ÛÇÔÀ¸·Î½á spoofµÇ´Â victim°£ ³×Æ®¿öÅ©¸¦ ¸¶ºñ½ÃŲ´Ù. °ø°ÝÀÚ°¡ victimA¿¡°Ô source IP address¸¦ victim BÀÇ IP address·Î spoofingÇÏ¿© ´ë·®ÀÇ UDP ÆÐŶÀ» Àü¼ÛÇϸé victimA¿Í victim B´Â °è¼ÓÇؼ ¼·Î ÆÐŶÀ» ÁÖ°í¹Þ°Ô µÇ¾î µÎ ½Ã½ºÅÛ »çÀÌÀÇ ³×Æ®¿öÅ©¿¡ °úºÎÇÏ°¡ ÃÊ·¡µÈ´Ù. ÀÌ °ø°ÝÀº ÁÖ·Î echo¿Í chargen¼ºñ½º¸¦ ÀÌ¿ëÇÑ´Ù.
¡Ü ICMP Flooding
ICMP(Internet Control Message Protocol)´Â IETF RFC792¿¡ Á¤ÀÇµÈ ÇÁ·ÎÅäÄݷνá È£½ºÆ®°£ ȤÀº È£½ºÆ®¿Í ¶ó¿ìÅÍ°£ÀÇ ¿¡·¯ »óÅ ȤÀº »óÅ º¯È¸¦ ¾Ë·ÁÁÖ°í ¿äû¿¡ ÀÀ´äÀ» ÇÏ´Â ±â´ÉÀ» ´ã´çÇÏ´Â ³×Æ®¿öÅ© Á¦¾îÇÁ·ÎÅäÄÝÀÌ´Ù.
È°¼ºÈµÈ ¼ºñ½º³ª Æ÷Æ®°¡ ÇÊ¿äÇÏÁö ¾Ê´Â À¯ÀÏÇÑ ÇÁ·ÎÅäÄÝÀÌ´Ù. ÀÌ·¯ÇÑ ICMPÀÇ Æ¯Â¡À» ¾Ç¿ëÇÑ ICMP FloodingÀº ´ë·®ÀÇ ICMPÆÐŶÀ» °ø°ÝÀÚ°¡ Á÷Á¢ victim¿¡°Ô Àü¼ÛÇÏ´Â ¹æ¹ýÀ¸·Î, ±× º¯Á¾ÀÇ ¿¹·Î Smurf, Welchia worm µîÀÌ ÀÖ´Ù.
Smurf´Â °ø°ÝÀÚ°¡ source IP address¸¦ victimÀÇ IP address·Î ¼³Á¤ÇÑ ÈÄ, broadcast address·Î ICMP echo requestÆÐŶÀ» Àü¼ÛÇÏ¸é ±× ÇÏÀ§ ¸ðµç ½Ã½ºÅÛµéÀÌ ICMPecho reply ÆÐŶÀ» victimÀ¸·Î Àü¼ÛÇÏ°Ô µÇ¾î ´ë·®ÀÇ ÆÐŶµéÀÌ ÁýÁßÇÏ¿© ³×Æ®¿öÅ© ºÎÇϸ¦ ³ôÀÌ°Ô µÈ´Ù. ÈçÈ÷ Smurf °ø°ÝÀ̶ó°í ºÎ¸£´Â ICMP echo reply amplifier´Â 10.1.1.255¿¡ echo ÆÐŶ Çϳª¸¦ º¸³Â´Âµ¥ ±× ÆÐŶÀÌ ¾öû³ ¾çÀÌ µÇ¾î ³ª°¡¹Ç·Î Amplifier °ø°ÝÀ̶ó°íµµ ÇÑ´Ù. ÃÖ±Ù ¹ß°ßµÈ Welchia wormÀº °¨¿° ½Ã½ºÅÛ¿¡ ´ëÇÏ¿© IP addressÀÇ BŬ·¡½º¸¦ °íÁ¤½ÃÅ°°í CŬ·¡½ººÎÅÍ Áõ°¡½ÃÅ°¸ç ICMP ÆÐŶÀ» Àü¼ÛÇÏ¿© ´Ù¸¥ °¨¿°´ë»óÀ» ã°í °¨¿° ½Ã½ºÅÛÀÇ ¼º´ÉÀ» ÀúÇϽÃÅ°´Â ÇüÅÂÀÌ´Ù.
¡Ü Trinoo
Trinoo´Â 1996³â ¹Ì³×¼ÒŸ ´ëÇп¡¼ ¹ß»ýÇßÀ¸¸ç ¼Ö¶ó¸®½º 2.x ½Ã½ºÅÛ¿¡¼ óÀ½ ¹ß°ßµÆ´Ù. ÃÖ¼Ò 227°³ÀÇ ½Ã½ºÅÛÀÌ °ø°Ý¿¡ »ç¿ëµÈ °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù. ÀÌ Trinoo´Â ¸¹Àº ¼Ò½º·ÎºÎÅÍ ÅëÇÕµÈ UDP flood ¼ºñ½º °ÅºÎ °ø°ÝÀ» À¯¹ßÇϴµ¥ »ç¿ëµÇ´Â µµ±¸·Î Trinoo °ø°ÝÀº ¸î °³ÀÇ ¼¹öµé(ȤÀº ¸¶½ºÅ͵é)°ú ¸¹Àº ¼öÀÇ Å¬¶óÀ̾ðÆ®µé(µ¥¸óµé)·Î ÀÌ·ç¾îÁø´Ù. °ø°ÝÀÚ´Â Trinoo ¸¶½ºÅÍ¿¡ Á¢¼ÓÇÏ¿© Master¿¡°Ô Çϳª ȤÀº ¿©·¯ °³ÀÇ IP ÁÖ¼Ò¸¦ ´ë»óÀ¸·Î ¼ºñ½º °ÅºÎ °ø°ÝÀ» ¼öÇàÇ϶ó°í ¸í·ÉÀ» ³»¸°´Ù. ±×·¯¸é Trinoo ¸¶½ºÅʹ ƯÁ¤ÇÑ ±â°£À¸·Î Çϳª ȤÀº ¿©·¯ °³ÀÇ IP ÁÖ¼Ò¸¦ °ø°ÝÇϵµ·Ï µ¥¸óµé°ú Åë½ÅÇÑ´Ù.
¡Ü CC(Cache-Control) Attack
2008³â ÇϹݱ⿡ ¹ßÇ¥µÈ, CC(Cache-Control) AttackÀº À¥ ºÎÇÏ °ø°ÝÀ̶ó°íµµ Çϸç À¥ ¼¹ö¿Í DB ¼¹ö¿¡ °úºÎȸ¦ ¹ß»ý½ÃÅ°´Â °ø°ÝÀÌ´Ù. ÀÌ °ø°ÝÀº ¸¹Àº ´ë¿ªÆøÀ» Àü¼ÛÇÏ´Â °ÍÀÌ ¾Æ´Ï¶ó Á»ºñPCÀÇ ¾çÀ» ´Ã¸®°í ´ë¿ªÆøÀ» ÁÙ¿© ¾ÆÁÖ LOWÇÏ°Ô GET¸Þ½ÃÁö¸¦ ¼¹ö·Î Àü¼ÛÇÑ´Ù. ¾î¶»°Ô º¸¸é ´ë¿ªÆø Áõ°¡´Â ¸¹ÀÌ ´ÃÁö ¾ÊÁö¸¸ º¸¸é CPU°¡ ¼ø½Ä°£¿¡ ¿Ã¶ó°¡°Ô µÈ´Ù.
<±Û : Á¤º¸º¸È£21c ÆíÁýÀÚ ÁÖ>
[¿ù°£ Á¤º¸º¸È£21c Åë±Ç Á¦105È£ (info@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>