DDOS 공격

1.1  DDOS 공격 의미     

DDOS공격은 DOS공격이 발전한 형태로, 분산 서비스 거부 공격의 약자이다. 공격자가 PC를 감염 시켜 Bot들을 생성하여 공격자 한 명이 공격을 실행하는 것이 아닌 공격자가 감염시킨 Bot들을 이용하여 분산적으로 배치하여 동시에 공격한다. 따라서 DDOS Attack은 과도한 트래픽을 발생시켜 특정 서비스를 제공하지 못하도록 차단하는 형태의 공격을 말한다

 

1.2  DDOS 공격과 DOS 공격의 차이점

DDOS 공격과 DOS 공격의 가장 큰 차이점은 공격자의 숫자이다. DOS 공격은 단일 사용자 즉, 공격자 자신이 직접 공격하기 때문에 쉽게 차단되기 마련이다. 반면 DDOS 공격은 여러 사용자가 공격자가 되므로 공격을 차단하기 어렵고 DOS 공격보다 훨씬 더 큰 피해를 가져온다.

 

1.3  DDOS 공격 시나리오

 

[그림 1] DDOS Attack 시나리오

[그림 1]은 DDOS공격이 이루어지는 프로세스를 나타낸 것이다. DDOS공격은 실제 Attacker가 직접 Target에게 접근하여 공격하는 것이 아니라 악성코드를 배포하여 많은 봇들을 생성하여 중간에 C&C(Command & Control) Server를 두어 공격을 실행하는 구조 이다. 따라서 봇들은 C&C Server에 통제를 받고, C&C Server에는 Attacker가 명령어를 전달하는 방식이다. 

    1.4  DDOS 공격 분류

 

DDOS Attack의 분류는 크게 대역폭 공격(Bandwidth Attack), PPS 증가 공격(PPS Consuming Attack), 웹 서비스 

지연 공격(HTTP Flooding)3가지로 나눌 수 있다. 

대역폭 공격(Bandwidth Attack)은 과도한 트래픽을 발생시켜 회선 대역폭을 고갈시킴으로써 정상적인 서비스를 제공하지 못하도록 차단하는 공격이다. 대역폭 공격의 종류에는 UDP Flooding, ICMP Flooding 등이 가장 대표적이다.

 

PPS 증가 공격(PPS Consuming Attack)은 네트워크 계층의 IP나 전송 계층의 취약성을 이용하는 공격이다. PPS 증가 공격 종류에는 TCP SYN Flooding 등이 있다.

 

웹 서비스 지연 공격(HTTP Flooding)은 웹 서비스의 구조적인 취약성이나 운영체제의 보안 취약성을 악용해 공격한다. 웹 서비스 지연 공격 종류에는 HTTP GET Flooding, CC Attack, RUDY, slowloris, DNS Flooding 등이 가장 대표적인 공격이다.

 

대역폭 공격(Bandwidth Attack)

ICMP Flooding Attack은 단순 대역폭 공격으로 다량의 패킷을 보내 과도한 트래픽을 발생시켜 서비스의 장애를 일으킨다.

 

PPS 증가 공격 (PPS Consuming Attack)

TCP SYN Flooding Attack은 SYN패킷이 전송되면 서버는 SYN+ACK패킷을 통해 응답 하여야 하는 TCP의 세션(Session) 성립 과정인 3-Way Handshake의 특징을 이용한 공격으로, 공격자는 다량의 SYN패킷을 발생시켜 서버를 과부하시키는 공격이다.

웹 서비스 지연 공격(HTTP Flooding)

HTTP의 정상헤더는 헤더 끝이 0D 0A 0D 0A로 끝난다. 하지만 slowloris는 헤더의 끝을 0D 0A만 보내 서버에서는 헤더의 전송이 아직 끝나지 않았다고 판단하여 계속 Connection을 맺어 서버의 리소스를 고갈시키는 공격이다.