보안 3요소
Confidentiality(기밀성) : 인가된 사람만 접근, 보기 가능
Integrity(무결성) : 인가된 사람만 수정 가능, 위조되지 않은 정보가 맞다.
Availability(가용성) : 인가된 사람은 항상 접근할 수 있다.
보안 공격
a) Normal flow : 출발지 -> 목적지
b) Interruption : 단절
c) Interception : 가로채기 (ex - Sniffing)
d) Modification : 변조 (ex - Spoofing)
e) Fabrication : 위조
DoS / DDoS
DoS - DoS(Denial of Service) 공격은 다른 해킹에 비하여 비교적 간단 - 해커들이 특정 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 것이 아니라 대량의 접속을 유발해 해당 컴퓨터를 마비시키는 수법, 이 수법은 목표 서버가 다른 정당한 신호를 받지 못하게 방해 - 공격대상이 수용할 수 있는 능력 이상의 정보나 네트워크의 용량을 초과시켜 정상적으로 작동하지 못하게 함 - 목적 사이트에 악의적인 대량의 패킷을 보내는 불법적인 행위로 자원을 고갈시켜 다른 합법적인 사용자의 이용 방해 DDoS - DDoS(Distributed Denial of Service)
- 공격자가 여러 대의 컴퓨터를 감염시켜 감염시킨 컴퓨터로 타깃을 동시에 공격하여 서비스를 지연 마비시키는 공격 - DoS 공격이 여러 곳에서 동시에 일어나게 하는 DoS 공격의 분산된 형태로, 피해 양상이 상당히 심각하며, 이에 대한 확실한 대책 역시 없음 - 또한 공격자의 위치와 구체적인 발원지를 파악하는 것 역시 거의 불가능에 가까움 - DDoS 공격은 특성상 대부분의 공격이 자동화된 툴을 이용하고 있음 - 공격의 범위가 방대함
DoS / DDoS 차이
DOS는 공격자가 희생자를 공격하는 방식이라면 DDOS는 공격자가 여러 대의 PC를 감염시켜 좀비 PC로 만들고 좀비 PC들을 통해 희생자를 공격하는 차이가 있다
즉 DOS와 DDOS의 차이점은 DOS는 직접 공격하고 DDOS는 다른 PC들을 감염시켜 여러대로 공격시킨다
DDoS 개념도 - 공격자(Attacker): 공격을 주도하는 해커의 컴퓨터 - 마스터(Master): 공격자에게서 직접 명령을 받는 시스템으로 여러 대의 에이전트를 관리하는 시스템 - 에이전트(Agent): 공격대상에 직접적인 공격을 가하는 시스템
공격 방법
가. 대역폭 소진 공격 - 다수의 PC를 이용하여 대량의 패킷을 전송 -> 네트워크 대역폭의 처리 한계를 초과 - 이는 BPS(Bit Per Second)를 이용한 공격으로 주로 1Gbyte 이상의 급작스런 트래픽 증가가 발생 - 이 공격의 경우 같은 네트워크에 있는 다른 업체의 서버에까지 접속장애가 유발되므로 파급효과가 큰 공격 유형 1) UDP Flooding - 과도하 UDP Traffic 유발 - 공격자가 victim A에게 source IP address를 victim B의 IP address로 spoofing하여
대량의 UDP 패킷을 전송하면 victim A와 victim B는 계속해서 서로 패킷을 주고 받게
되어 두 시스템 사이의 네트워크에 과부하가 초래
2) ICMP Flooding - 대표적인 공격: Smurf - 공격자가 source IP address를 victim의 IP address로 설정한 후, broadcast address로
ICMP echo request 패킷을 전송하면 그 하위 모든 시스템들이 ICMP echo reply 패킷을
victim으로 전송하게 되어 대량의 패킷들이 집중하여 네트워크 부하를 높이게 된다.
나. 자원고갈 공격 - TCP를 이용하여 PPS(Packet Per Second)를 증가시킴으로써 네트워크 장비 또는
서버 장비의 CPU 부하를 유발시키는 PPS 소비(PPS Consuming) 유형 - 이 경우 bps의 증가는 많지 않으나 pps의 급작스런 증가로 장비의 다운을 유발 1) SYN Flooding - SYN Flood는 TCP Connection 연결을 사용하는 모든 TCP 통신은 TCP Three-way
Handshake 완료 후에 데이터를 전송할 수 있다는 원리를 이용 - 서버는 SYN ACK 패킷을 보내고 대기 상태에 놓여있게 됨 - 공격자는 ACK를 발송하지 않고 계속 새로운 연결 요청을 하게되어
서버는 자원할당을 해지하지 않고 자원만 소비 다. 애플리케이션 공격 - 과다한 웹 접속을 통해 웹 서비스를 어렵게 하는 공격 - 최근 많이 이루어지고 있는 Slowloris DDoS 공격은 세 가지 유형 가운데 웹서비스 지연(Http Flooding)에 해당 - Slowloris라고 불리는 이유는 적은 양의 대역폭과 트래픽을 사용하기 때문 1) HTTP GET Flooding - 과도한 Get 메시지를 이용하여 웹서버의 과부하를 유발시킴
2) HTTP CC Attack - Cache를 사용하지 않도록 하여 Get 메시지를 요청, 적은 트랙픽을 통해 웹서버에
과부하 유발
대응 방안
탐지 / 대응 기술
나. 탐지 및 대응 기술 1) 호스트 기반 DDoS 공격발생 탐지 및 대응기술 - 호스트 기반 이상 트래픽 탐지 및 차단 2) 웹 서버 기반 DDoS 공격탐지 및 대응기술 - 최근 웹서비스를 대상으로 하는 응용계층 기반의 DDoS 공격 증가 - 응용 계층 DDoS 공격 방어 기술 3) 광대역 네트워크 기반 DDoS 공격탐지 및 대응기술 - 트래픽 패턴 분석 - 악성 실행 코드 탐지/분석 - 악성코드 감염 시스템 (Zombie Agent) 모니터링 4) DDoS 공격 대응 공조 체계 구축 및 운영 - DDoS 공격 종합관제 기술 개발
Comments