Dos

Dos(Denial of Service)

● 서비스 거부 공격

● 시스템 자원(cpu, memory, network etc)을 고갈시켜 정상적인 접근에 대한 서비스를 제공할 수 없도록 만든다.

● 시스템 보안 요소 중에 가용성 침해에 해당한다.

ex) 강동구 폭탄 민원 사건(6년간 한 명이 4만 건에 민원을 제기, 구청 업무 마비로 이어짐)

 

Dos attack type

● Error trigger Dos attack : OS, application의 약점에 attack packet을 전송해서 시스템 에러를 유발(slammer, worm)

- 대표적인 공격 방법 : ping of death(비정상적인 ICMP 패킷을 전송하여 시스템 성능을 저하), Land(출발지와 목적지 IP 주소를 동일하게 하여 설정하여 IP 프로토콜 스택에 장애를 유발), Teardrop

● Flooding Dos attack

- packet, traffic을 과중하게 발생하여 서버, 네트워크 자원을 고갈시킴

- 공격 방법 : TCP syn flooding

 

TCP syn flooding

● TCP 3-way handshaking의 취약점을 이용

- 공격자가 src IP 주소를 위조(이 부분에서 엉뚱한 피해자가 발생)해서 TCP SYN를 동시에 대량 전송한다.

- 서버는 TCP ACK를 보내고, 자원 할당(client와 tcp연결을 위한 buffer를 할당)후 응답을 기다린다.

-> 메모리 준비하다가 서버의 자원을 무분별하게 낭비하게 된다. 

- 정상적인 접근을 방해하고 엉뚱한 피해자가 발생한다.

ex) 티켓팅하다가 서버가 다운되는 현상 생각해보자

 

DDoS Attack

● Distributed Denial of Service

● 다수의 pc가 동시에 DoS 공격

● 탐지조차 힘든 공격

 

What is BotNet?

● DDoS 공격을 이해하기 위해서는 Bot과 BotNet의 개념을 알아야 한다.

● Bot(=zombie) : 악성 소프트웨어에 감염되어 자신도 모르게 해커의 조종을 받는 컴퓨터

● BotNet : 명령 제어 서버(C&C, command and control)를 통해 원격 제어되는 악성코드에 감염된 컴퓨터(bot)들의                      네트워크

ex) 3.20 전산망 마비 사태

-> 탐지 자체가 힘들다. 좀비를 정상적인 사용자로 판단한다.

 

DDoS 종류

 

why DDoS?

● 단순하다.

● TOOL을 사용하면 상당히 쉽게 공격이 가능

● 상당히 치명적이다.

● 공격자 추적이 상당히 어렵다. 배후에서 조종하기 때문이다.