| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- slow http post dos
- 핑오브데스
- tcp syn flooding
- icmpp drdos
- drdos 대응
- 해쉬 dos
- 네트워크 대역폭 소진
- 헐크 dos
- slow dos
- hulk dos
- drdos와 ddos 차이
- 반사 서버
- backlog queue
- udp drdos
- snmp drdos
- ruddy
- OFFSET
- zerowindow
- DHCP
- from sql injection
- http get flooding
- ntp drdos
- dns drdos
- hash dos
- slow http read dos
- tcp drdos
- slow http
- slowloris
- slow http dos
- 해시 dos
Archives
- Today
- Total
Tech Juny
DoS 계열 공격 - DRDoS 공격 기법 본문
DRDoS
01. DRDoS
- 특징
- 출발지 IP를 공격대상 IP로 위조(IP Spoofing)하여 다수의 반사 서버로 요청정보 전송
- 타겟은 반사 서버의 다수의 응답을 받아 서비스 거부 상태 발생
- 추적하기 어려움
- DRDoS는 반사와 증폭 공격 형태로 나타남
- DRDos 종류
- TCP 기반 DRDoS : TCP 3-Way-Handshake 이용
- ICMP 기반 DRDoS : ICMP Echo 메시지 이용
- UDP 기반 DRDoS : DNS, NTP, SNMP 프로토콜 이용
- DNS DRDoS : 정보가 많은 Any type, Text type 요청을 이용하여 증폭
- NTP DRDoS : 최근 접속한 클라이언트 목록 600개를 요청하는 명령어(monlist)를 이용하여 증폭
- SNMP DRDoS : 대량의 MIB 값을 요청하여 증폭
02. TCP 기반 DRDoS
- 공격 과정
- IP Spoofing으로 출발지 주소를 타겟의 IP로 위조하여 반사 서버에게 다수의 SYN 패킷으로 연결 요청
- 반사 서버는 타겟한테 대량의 SYN+ACK 패킷으로 응답
- 타겟은 SYN 과정 없이 SYN+ACK 패킷을 받으므로 Drop 처리 및 서비스 거부 상태 발생
- 반사 서버는 ACK 메시지가 없으므로 SYN+ACK 재전송 → TCP 재전송을 이용한 증폭 효과
03. ICMP 기반 DRDoS - Smurf 공격
- 공격 개요
- 출발지 IP를 타겟의 IP로 위조한 후 증폭 네트워크로 ICMP Echo Request 메시지를 Broadcast 전송
- 타겟 IP로 대량의 ICMP Echo Reply 메시지 전송
- Directed Broadcast
※ Broadcast 종류
- Local Broadcast IP : 같은 LAN의 브로드캐스트 → 255.255.255.255
- Directed Broadcast IP : 다른 네트워크에 원격 브로드캐스트 → 192.168.10.255
- 대응책
- 외부로부터 오는 Directed Broadcast 패킷 Drop 설정
- 동일한 ICMP Echo Reply 패킷이 다수 발생 시 Drop 설정
- Broadcast ICMP Echo Request는 무시하도록 설정
03. UDP 기반 DRDoS - DNS 증폭 DRDoS
- 일반적으로 공개 되어있는 DNS 서버를 이용한 DDos 공격
- 공격 과정
- IP Spoofing으로 출발지 주소를 타겟의 IP로 위조하여 반사 DNS 서버에게 DNS 질의 다수 요청
- 여기서 DNS 질의 메시지 타입은 ANY 타입과 TXT 타입으로 질의 → 증폭 효과
- DNS 서버는 다수의 DNS 질의에 대한 응답을 타겟으로 전송
- 타겟은 서비스 거부 상태 발생
※ DNS 질의 타입
- ANY 타입 : 질의한 도메인의 모든 레코드 정보 질의 → 모든 레코드 정보이기 때문에 양이 많아 증폭 효과
- TXT 타입 : TXT 타입 레코드 정보 요청 → 다른 메시지 타입에 비해 양이 많아 증폭 효과
- 대응 방법
- 내부 DNS라면 내부 IP로만 질의 가능하도록 설정
- DNS 동일 출발지 IP에 대해 요청 개수 임계치를 설정
04. DRDoS 대응방법
- IP 스푸핑에 대응 할 수 있는 라우터 및 보안 장비의 주요 기법 적용
- Ingress 패킷 필터링 : 외부 → 내부로 들어오는 패킷의 출발지 IP를 체크하여 차단
- 외부에서 사용될 수 없는 IP : 사설 IP, 루프백 IP
- Egress 패킷 필터링 : 내부 → 외부로 나가는 패킷의 출발지 IP를 체크하여 차단
- 내부에서 사용되고 있지 않는 IP는 위조된 주소로 판단
- Unicast RPF : 유입된 인터페이스로 다시 전송되는 여부를 체크하여 역경로가 존재하지 않는다면 위조된 주소로 판단하여 차단
- Ingress 패킷 필터링 : 외부 → 내부로 들어오는 패킷의 출발지 IP를 체크하여 차단
※ Unicast RPF 차단 방식
외부 인터페이스로 들어온 패킷의 IP를 자신의 라우팅 테이블에 대조 후 다시 동일한 외부 인터페이스로 경로가 탐색 되는지 확인
만약 다른 인터페이스로 경로 탐색 시 비정상 패킷으로 판단하여 차단 수행
05. DRDoS와 DDoS 차이점
- DRDoS는 직접 공격을 수행하지 않고 반사 서버를 이용하여 역추적이 어려움
- DRDoS는 증폭을 활용하기 때문에 공격 효과가 증가
'보안 취약점 공격' 카테고리의 다른 글
| 웹 애플리케이션 공격 계열 - XXS, CSRF, SSRF (0) | 2024.06.07 |
|---|---|
| DoS 계열 공격 - Slow 계열 DoS 공격 기법 (0) | 2024.05.22 |
| DoS 계열 공격 - HTTP DoS 공격 기법 (0) | 2024.05.19 |
| DoS 계열 공격 - DoS 공격 기법 (0) | 2024.05.17 |
| Network 계열 공격 - Port Scanning 공격 기법 (0) | 2024.05.15 |
'보안 취약점 공격' Related Articles
more
Comments