<DOS>

● DoS 공격 이란?

- DoS는 Denial of Service(서비스 거부)의 약자.

- 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로

사용하지 못하게 하는 공격이다.

- 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을

하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함된다.

- 수단, 동기, 표적은 다양할 수 있지만, 보통 인터넷 사이트 또는 서비스의 기능을

일시적 또는 무기한으로 방해 또는 중단을 초래한다.

[그림1] Dos공격 구조

● DoS 공격의 종류

1. 버퍼 오버플로우 공격

- 프로그래머가 예측하여 설계했던 것 보다 더 많은 양의 트래픽을 보내는 방식이다.

2. SYN 공격

- 네트웍 상의 TCP 클라이언트와 서버 사이에 세션이 개시될 때. 핸드셰이킹을 신속

히 처리하기 위해서 메시지 교환 순서를 인식하기 위한 SYN 필드가 포함된다.

- SYN 공격은 다수의 공격자가 접속 요청을 빠르게 보낸 다음 상대방에게

응답하지 않고 침묵함으로써 다른 필요한 접속 요구들을 방해하는 방식이다.

3. 눈물방울 공격

- 라우터에서 처리하기에 너무 큰 패킷을 IP가 여러 조각으로 분리한다는 점을 악용

하여, 공격자는 조각난 IP 조각에 엉뚱한 오프셋을 집어넣어 순서를 혼란시킨다.

4. 스머프 공격

- 공격자는 수신측 사이트로 IP 핑 요청을 보내고 이 패킷은 근거리망의 다른 호스트

들에게로 보내진다. 이때 패킷은 자신이 아닌 다른 사이트로부터 온 것처럼

위장함으로써 표적이 된 다른 사이트가 DoS를 겪게 된다.

5. 바이러스

- 다양한 방법으로 네트워크 전반에 걸쳐 자신을 복제하는 컴퓨터 바이러스로 특정

시스템을 상대로 하지 않지만, 그 중 불운한 시스템이 피해를 볼 수 있다.

6. 물리적 기반 공격

- 누군가 광케이블을 훼손하는 것이다. 재빨리 트래픽을 다른 쪽으로 우회 시켜

처리할 수 있다.

● DoS 공격 특징

① 루트 권한을 획득하는 공격이 아니다.

② 데이터를 파괴하거나, 변조하거나, 훔쳐가는 것을 목적으로 하는 공격이 아니다.

③ 공격의 원인이나 공격자를 추적하기 힘들다.

④ 공격 시 이를 해결하기 힘들다.

⑤ 매우 다양한 공격 방법들이 가능하다.

⑥ 공격의 결과는 공격당한 시스템의 구현과 매우 밀접한 관계를 가지기 때문에

결과 또한 서로 다른 시스템에 따라 다른 결과를 발생시킬 수 있다.

⑦ 다른 공격을 위한 사전 공격으로 이용될 수 있다.

⑧ 사용자의 실수로 발생할 수도 있다.

● DoS 공격 예방 방법

1. SYN Flooding 공격에 대한 대책

① queue를 늘려주는 방법

② 패킷 필터링

③ 방화벽의 설치

2. TCP 순서 번호 공격에 대한 대책

① 라우터나 방화벽으로 패킷 필터링

② 보안 패치

③ 주소로 인증하는 것을 차단

④ 올바른 구성 및 운영

3. ICMP 보안 대책

① 각 사용자들에 대해서 quota를 할당

② 다른 프로세스 종료 후 처리 프로세스 할당

③ 프로세스 종료, 시스템 종료

4. IP 스푸핑 공격에 대한 대책

① 라우터로 패킷 필터링

② 무작위의 순서 번호 생성

③ 암호화된 순서 번호

④ 로깅(logging)과 경고 기능(altering)을 강화하여 비정상적인 패킷을 발생시키는지

감시

● Dos공격 해 보기

(실습환경 => 운영체제 : Linux, 사용한 프로그램 : hping3, Wireshark)

1. http://hping.org/download.php에서 hping3프로그램(.tar.gz)을 다운 받아 알집을 푼다.

2. 터미널 창에서 hang3에 어떤 명령어가 있는지 확인하기위해 help를 사용한다.

3. 알아낸 옵션을 이용하여 공격 대상 서버로 패킷전송

4. 와이어샤크 프로그램을 이용하여 확인

- 잘 보이지는 않지만 Source(파란색 체크박스)에서 Destination(빨간색 체크박스)로

같은 크기의 패킷이 계속 날아온 것을 확인 할 수 있다.

(DoS 실습 도움 3학년 오창석)

● Dos공격(SYN_Flooding) 확인 방법

[그림2]Dos공격 확인법

1. cmd창에 들어간다.

(window키 + R 또는 시작->모든프로그램->보조프로그램->명령프롬프트)

2. netstat -n -p tcp를 입력한다. (파란 텍스트박스 참고)

- netstat명령어는 네트워크 포트상태를 확인함으로써 바이러스나 해킹여부 진단 가능

① [-n] 옵션 : 현재 다른PC와 연결되어있는 포트번호 확인

② [-p proto] 옵션: 입력한 프로토콜만 확인

3. 명령어를 치고 난 뒤 나오는 상태를 보면 알 수 있다. (주황색 텍스트박스 참고)

- 상태에 “SYN_RECEIVED”라는 글이 있으면 SYN_Flooding공격이 일어난 것을

알 수 있다.

● DoS 공격의 사례

1. 스마트TV도 해킹 취약점 발견…도스(DoS) 공격으로 재부팅

- 스마트TV에서도 해킹 가능성이 현실화되고 있다.

25일 업계에 따르면 벨기에 보안전문가 말릭 메셀렘은 인터넷 접속이 가능한

삼성 스마트TV 최신 펌웨어에서 취약점을 발견했다고 밝혔다.

공격자는 이 취약점으로 서비스거부(DoS) 공격이 가능한 것으로 나타났다.

도스 공격은 시스템을 마비시키는 해킹 기술이다.

메셀렘은 삼성전자 PDP TV(PS50C7700)의 IP 주소로 패킷(데이터)을 전송했다.

그 결과 TV가 재부팅되는 이상 증상이 나타났다....

[이티뉴스 윤건일 기자]

2. 해커 공격?…중국 주요사이트 25일 온종일 마비

- 25일 중국에서 주요 인터넷사이트의 접속이 느려지거나 안 되는 현상이

장시간 이어졌다. 해커 공격이 원인으로 추정되고 있다.

중국 관영매체 중신사(中新社)는 이날 중국인터넷정보센터(CNNIC)를 인용,

서비스거부공격(DoS)으로 ‘.cn’을 도메인으로 사용하는 인터넷사이트의 접속이 안

되는 현상이 발생했다고 전했다.....

[국민일보 쿠키뉴스 김현섭 기자]

3. 원주경찰서 게임서버를 DoS 공격으로 마비시킨 피의자 검거

- 원주경찰서(서장 이용완)는 5월 6일 자신이 운영하고 있는 게임서버에 사용자들이

줄자 상대편 게임서버를 DoS 공격으로 마비시킨 게임서버운영자 00중학교 2학년에

재학 중인 김00(13세)를 정보통신망이용촉진및정보보호등에관한법률위반으로

검거하여 수사 중에 있다.

김00군은 2012년 1월 경부터 온라인게임 ’산안드레스‘ 게임서버를 운영하면서 평상시

100여명이 접속하여 게임을 하였으나 인터넷에서 같은 유형의 게임서버를 운영하는

사람들이 늘어 접속자들이 현저히 줄자, 게임서버 운영자들의 IP주소, 포트번호를 확

인한 후, 2012년 4월 경부터 2013년 3월 경까지 약 1년간 피의자와 같은 유형의

게임서버를 운영하고 있는 운영자의 게임서버 300여대에 해킹프로그램을 이용하여

300여회에 걸쳐 서비스거부공격(DoS) 공격으로 게임서버를 마비시킨 혐의이다....

[뉴스타운 김종선 기자]

<DDOS>

● DDoS 공격 이란?

- Distributed DoS(분산 서비스거부)의 약자

- 여러 대의 공격자를 분산적으로 배치해 동시에 서비스 거부 공격을 하는 방법이다.

- 이는 IAB의 정당한 인터넷 사용 정책에 반하는 것으로 여겨지며 거의 모든 인터넷

서비스 공급자의 허용할 수 있는 사용 정책도 위반한다.

[그림 3]DDos공격 구조

공격분류 특징 공격유형

Flooding공격

Non-Spoofing 공격

SYN flooding

ACK flooding

SYN/ACK flooding

FIN flooding

RST flooding

UDP flooding

ICMP flooding

TCP/UDP/ICMP 혼합형 공격

Spoofing 공격

SYN flooding

ACK flooding

SYN/ACK flooding

FIN flooding

SRT flooding

UDP flooding

ICMP flooding

TCP/UDP/ICMP 혼합형 공격

TCP/IP Null 공격

Connection공격

HTTP 공격 HTTP daemon 개수 이상을 초과시킴

과다 TCP connection공격

Application의 input queue 마비

Application공격

Application 특성을 이용

FTP 공격, Time 공격, VoIP 공격, DNS공격, DHCP공격, SQL 공격, Netbios

공격, RPC 공격 등 Cache Control 공격

● DDoS공격 유형(공격형태에 따른 분류)

● DDoS공격 유형(자원고갈 대상에 따른 분류)

구분 공격유형

대역폭/세션

고갈형 공격

L4레이어 : SYN, SYN-ACK, RESET 플러딩, ACK 플러딩,

UDP 플러딩

L3레이어 : Land어택, ARP, RARP 플러딩, ICMP 플러딩

L2레이어 : VLAN double-encapsulated, VLAN non-IP flood

서버 자원

고갈형 공격

L7레이어 : HTTP GET 플러딩, DNS Lookup 플루딩,

캐시 컨트롤 공격(Cache Control Attack)

탐지도구(방법)

세부 설명 설치 장소 비 고

IDS/IPS - 특정 signature를 등록하여 탐지- Top rank 안에 포함된 트래픽 중평시와 다른 특이사항(공격 trand)

트래픽 분석

- 백본트렁크,

국내/국제 G/W 등

- 대부분 ISP가운영중

DDoS대응시스템

- L3 기반으로 고속으로 DDoS 공격을 탐지하고 차단

- 공격발생시 트래픽을 우회시켜 공격 트래픽을 제거하고 정상 트래픽 전송

- 코어라우터,

G/W 라우터사이 등

- Cisco Guard

/ Detector

- Arbor Peakflow

제품 등

Netflow - 트랙픽 패턴 분석 및 불규칙적 트래픽을 우회시켜 공격 트래픽을제거하고 정상 트래픽 전송

- 분석용 서버를백본 네트워크에연결

- 라우터의 과부하발생으로대용량 장비에만 사용가능

ACL - 라우터에서 Access-list를 이용하여실시간 source/destination IP,

Port, protocol 만 확인 가능

- 백본, G/W

라우터 자체기능

- 라우터 과부하 주의 필요

MRTG

or RRD

- 서버에서 라우터를 대상으로 SNMP

get으로 수집한 MIB 데이터를 분석- 트래픽 급증, 급감여부를 보고 징후판단* MRTG : bps, pps 변화만 확인

가능

- MRTG 서버를백본 네트워크에연결

- MRTG 는 모든 ISP가 운용중

DNS 서버 - DNS 서버로 들어오는 DNS

query 패킷을 분석하여 과도한 query 패킷을 탐지

- DNS 서버에 저장되는 log를 실시간으로 콘솔에서 모니터링

- 서울 및 주요대도시 네트워크에DNS 캐싱서버설치 운영

L7 스위치IPS

- query 수 임계치를 미리 설정해 놓고 임계치를 초과하는 query가발생시 alarming 함* 예 : 평시 10,000 query/sec 일 때 이를

초과하면 alarming 하도록 설정

- DNS 서버,

G/W 등에 설치 운영

- Top rank

DNS query

URL을 표시해주는 기능없음

● DDoS 공격 탐지 방법

구분 목적 차단 방법 비고

URL차단

- 과도한 DNSquery 패킷발생에 의한DNS 기능 마비 방지

- 특정 URL로발생되는 DDoS패킷 차단

▸ DNS 싱코홀- DNS 캐싱서버에서 차단하고자 하는 특정

URL에 대해 lookback IP(127.0.0.1) 선언을하거나, 임의의 서버 IP를 설정

- 해당사업자에 할당되지 않는 IP에서 DNS query를 받을시 차단하도록 캐싱서버에 차단설정(IP스푸핑 등 차단효과)

▸ L7 스위치- DNS 앞단에서 특정 URL에 대한 DNS

query 패킷을 차단설정

- DNS 서버에필터링 적용시에는 용량대비 부하를고려 필요

IP 차단- DDoS 공격

IP를 차단하여네트워크 보호

▸ Blackhole 처리- 네트워크에서 차단하고자 하는 Destination

IP를 blackhole 라우팅으로 처리하여 차단(Src 차단 불가)* 등록된 IP는 Null 0 라는 가상 인터페이스로 패킷을 포워딩하여 drop 시킨다

▸ ACL 처리- Source IP, Destination IP, port 별로 차

단이 가능* ACL 처리는 부하를 많이 주고, 라우터별로 최대 처리 용량이 제한되어 있어 소극적 사용을 권장

▸ uRPF- G/W 라우터나 가입자접속용 라우터에

uRPF를 적용하여 차단▸ CAR(Rate-limit)- 특정패턴(예: sync flooding 등)의 bandwidth를

제한하여 차단효과 발휘, 라우터에 부하를 주고, DDoS 공격 발생시 실시간 대응에는 단점이 있음

▸ PBR(Police Based Routing)- 특정 사이즈별로 패킷을 ACL 처리,

Null 0로 차단(예 : Nachi worm 92 byte차단적용 등)

- Source IP차단은 ACL및 routingupdate(AS 별,prefix 별) 등으로만 처리가능

Port,Protocol차단

- DDoS 공격하는 특정 포트,프로토콜 등을차단하여 네트워크보호

▸ L7 스위치- 포트, 프로토콜별 및 TCP/UDP flooding,

payload 패턴 등을 설정하여 차단▸ ACL 처리- 방화벽, 라우터 등에서 포트, 프로토콜 등

을 ACL로 설정하여 차단

- L7 스위치는 G/W, DNS등에 제한적으로설치 운용하고있음

● DDoS 공격 차단 방법

● DDoS 공격의 사례

1. 호기심에 선관위 DDoS공격 고교생 검거

- 포털 실시간 검색어 때문에 중앙선거관리위원회 홈페이지를 분산서비스거부(DDoS)

공격한 철없는 고교생이 29일 주요통신기반시설 침해행위 등의 금지위반 혐의로

불구속 입건됐다.

경찰청 사이터테러대응센터는 고교생 이모(17)군이 지난 1월8일부터 오후 3시39분

부터 9일 오후 7시2분까지 좀비PC 7대를 동원해 DDoS공격을 했지만 미수에

그쳤다고 밝혔다....

[지디넷 코리아 김희연 기자]

2. 청부형 DDoS 공격 급증

- 중국 해커를 이용한 청부형 DDoS 공격이 빠르게 늘고 있다.

　청부형 DDoS 공격은 중국 DDoS 전문업체에 공격을 의뢰, 목표 웹사이트에 DDoS

공격을 감행하는 방식이다.

　특정업체로부터 사주를 받는다는 점과 극단적 목적을 달성할 때까지 지속된다는

점에서 기존 DDoS 공격과 구분된다.

　한국인터넷진흥원(이하 KISA)은 청부형 DDoS 공격으로 추정되는 중국발 DDoS 공격

사례가 급증하고 있는 것으로 분석했다.

　 KISA 관계자는 “기존 DDoS 공격은 3~4차례 공격을 감행한 후 사이트에서 돈을

받는 등 목적을 달성하면 공격을 중단했다”며 “청부형 DDoS 공격은 의뢰자의 목적을

이룰 때까지 지속적으로 공격을 감행하는 등 장시간에 걸친 사이버전투의 양상을

띤다”고 설명했다....

[이티뉴스 장윤정 기자]

3. 주요 인터넷 서비스 제공자 대상 DDoS 공격 발생!

- 7.7 DDoS 대란의 HTTP 공격 방어와 더불어 대규모 대역폭 공격에 대한 방어 준비

가 요구되고 있다. 천안함 사건과 지방선거의 여파로 사회가 불안함에 따라 대규모

사이버 공격에 대한 우려가 나타나고 있는 가운데 국내 주요 인터넷 서비스 제공사들

을 대상으로 한 대규모 DDoS 공격이 나타났다. 지난 5월 31일 저녁 9시 30분부터

두 시간 가량 KT와 SK브로드밴드, 통합LG텔레콤 등에 동시에 DDoS 공격이

나타난 것. 다행히 큰 피해 없이 공격이 지나갔지만 이번 공격을 계기로 대역폭

공격에 대한 준비가 요구되고 있다....

[보안뉴스 김태형 기자]

<DoS공격과 DDoS공격의 차이점>

- 서비스 거부공격(DoS)과 분산 서비스거부공격(DDoS)의 차이는 직접 공격을 행하느냐

공격을 하도록 지시하느냐의 차이 입니다.

- DOS공격은 자신이 직접 공격을 행하는 것이고 DDOS공격은 해커가 감염시킨 PC또는

서버 여러 대에 공격을 하게 하도록 지시하는 것입니다.

<개인정보 처리 기간>

제2조(개인정보의 처리 및 보유기간)

1. 국가법령정보센터는 법령에 따른 개인정보 보유·이용기간 또는 정보주체로부터 개인

정보를 수집시에 동의받은 개인정보 보유·이용기간 내에서 개인정보를 처리·보유합니다.

2. 각각의 개인정보 처리 및 보유 기간은 다음과 같습니다.

1.회원 가입 및 관리 : 공공기관 홈페이지 탈퇴시까지 다만, 다음의 사유에 해당하는

경우에는 해당 사유 종료시까지

1. 관계 법령 위반에 따른 수사·조사 등이 진행중인 경우에는 해당 수사·조사

종료시까지

2. <예외 사유> 시에는 <보유기간> 까지

2. 민원사무 처리 : 민원처리 종료 후 3년

3.「정보통신망 이용촉진 및 정보보호 등에 관한 법률」시행령 제29조에 따른 본인확인

정보 보관 : 게시판에 정보 게시가 종료된 후 6개월

★ 과제 후 느낀점

- 이번 과제를 통해 DoS와 DDoS에 대해 좀 더 자세히 공부를 할 수 있었고,

프로그래밍을 열심히 잘 하는 것 물론 중요하지만 지금 나와 있는 해킹들이 어떻게

이루어지는지 알아내고 향후 내가 만든 프로그램이 네트워크 관련 프로그램이라면

그 프로그램이 어떤 문제가 있는지 파악해서 보안하는 것도 중요하다는 것을 알게

되었다. 그리고 DoS 모의 해킹을 할 때 실습환경이 부족하여 보안트랙의 힘을 빌렸다.

DDoS공격은 직접 해 보지 못해 아쉬웠다.

- 개인정보를 사용할 때(주로 회원관리) 언제까지 회원정보를 가지고 있어야 되는지도

알게 되었다.

참고 사이트

<DoS>

http://ko.wikipedia.org/wiki/%EC%84%9C%EB%B9%84%EC%8A%A4_%EA%B1%B0%EB

%B6%80_%EA%B3%B5%EA%B2%A9

http://blog.naver.com/rewrite46?Redirect=Log&logNo=90181591982

http://cafe.naver.com/sojw/2925

http://blog.naver.com/rus1031?Redirect=Log&logNo=80188762019

http://ciscom.tistory.com/23

<DDos>

http://jsblab.com/30067377698

http://blog.naver.com/rus1031?Redirect=Log&logNo=80188762019

http://www.gits.co.kr/bbs/board.php?bo_table=pds&wr_id=16&page=6

http://lugenzhe.blog.me/90093490155

<netstat>

http://blog.naver.com/xers1?Redirect=Log&logNo=140167387503

<Dos와 DDoS 관련 뉴스>

http://www.etnews.com/news/computing/security/2804816_1477.html

http://news.kukinews.com/article/view.asp?page=1&gCode=all&arcid=0007496181&cp=

nv

http://www.newstown.co.kr/news/articleView.html?idxno=146089

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120229154833&type=det

http://www.etnews.com/news/computing/public/2490832_2564.html

http://www.boannews.com/media/view.asp?idx=23947&kind=1

<개인정보 파기>

http://www.law.go.kr/html/renew/privacy.html